Тестирование безопасности веб-приложений
Мы разрабатываем веб-приложение, используя Spring Framework и Hibernate ORM. Что касается безопасности приложений, мы используем acegi для обеспечения аутентификации и поддержки авторизации.
Теперь о санитарии пользовательского ввода, мы постарались позаботиться о таких атаках, как инъекции XSS и SQL. Мы постарались использовать как можно больше подготовленных операторов и критериев гибернации для обновлений базы данных и запросов. Входы санированы также для JavaScript.
Для тестирования мы попытались использовать такие инструменты, как Firebug, Tamper IE и Fiddler2 и т. Д.
Мы также использовали такие инструменты, как Watch Mouse, для тестирования уязвимостей.
Какие другие инструменты доступны для безопасности веб-приложений и что нужно учитывать перед началом тестирования безопасности веб-приложений.
Спасибо вам
5 ответов
У HP есть инструмент оценки безопасности, который называется Webinspect, но он не бесплатный, и я бы его не рекомендовал. Либо моя компания не знает, как его использовать, либо инструмент не имеет последовательности в поиске уязвимостей.
Вам лучше нанять действующее агентство по тестированию пера для поиска уязвимостей на вашем сайте. Конечно, вы можете запустить автоматические сканеры, но они могут сделать только так. Вероятно, вы потратите больше денег и ресурсов, пытаясь изучить и внедрить правильное тестирование с помощью пера, чем просто нанять кого-то другого, чтобы сделать это.
Тот факт, что вы задаете этот вопрос, означает, что вы не обладаете достаточной степенью уверенности в том, чтобы обеспечить уверенность или полное покрытие, которое потребуется коммерческому приложению до запуска.
Burpsuite - это удивительный инструмент для тестирования веб-приложений.
Однако я согласен с тем, чтобы нанять внешнюю команду, но если ваша компания не может / не хочет, посвятите выходные знакомству с BurpSuite, и вы, несомненно, найдете некоторые ошибки.
Я согласен с теми, кто рекомендовал вам обратиться в стороннюю фирму по тестированию пера, если вы хотите получить лучшие результаты сейчас.
Тем не менее, одним из лучших универсальных инструментов для тестирования перьев веб-приложений, которые я использовал, является Burp Suite (portswigger.net). Существует бесплатная версия, которая предоставляет вам большую часть функциональности, но инвестирование 400 долларов в версию Pro, которая добавляет сканер уязвимостей и возможность сохранения состояния, того стоит.
Кроме того, вы должны очень хорошо ознакомиться с организацией OWASP (owasp.org) и информацией / инструментами, которые они предоставляют для обеспечения безопасности веб-приложений. Шпаргалки и руководства по тестированию могут быть очень полезны, если вы знаете, как их использовать.
Наконец, если вы полны решимости создать свою собственную группу безопасности приложений, вам следует подумать о найме людей с обширным опытом в области безопасности приложений, а также с опытом разработки программного обеспечения. Безопасность приложений - это не только тестирование безопасности. Статический анализ кода безопасности и моделирование угроз - это только две другие области, о которых вы должны подумать.