sprawdzenie źródeł strony www

[adam_r]

Poszukuję rozwiązania, za pomocą którego mógłbym sprawdzić źródła napisanej przeze mnie strony od wewnątrz.Sama strona napisana w PHP z elementami AJAXa i skryptów Java. Zależy mi też na zweryfikowaniu podatności strony na najbardziej popularne ataki. Możecie coś zaproponować?

[mijagi]

sqlmap jeśli chodzi o sql inj;>

[Whizz_BANG]

tzn co widac sprawdzisz poprzez dragonfly lub firebug, następnie wykorzystaj mozliwosci nessusa, obciąż serwis jmeter'em, wykorzystaj mozliwosci apache z mod_ssl i mod_proxy, w pliku php.ini wylacz wyswietlanie bledow i loguj wszystkie bledy do plikow, wlacz safe mode, wykorzystuj .htaccess, dokladnie przyjrzyj sie plikowi httpd.conf, dodatkowo wykorzystaj: wikto, nikto, webscarab, burp suite, w3af, appscan, komercyjny webinspect jesli masz klikanascie $

obowiazkowo do przejrzenia:
OWASP

[TQM]

Do analizy zodel/kodu php jedyne co znam (do PHP) to Fortify RATS - https://www.fortify.com/ssa-elements...ence/rats.html

Normlanie analizatory od Fortify kosztuja ale to jest ich darmowy produkt Nie uzywalem jeszcze ale bede niebawem... taki testowy strzal na malenkim skrypcie...

Kod:

$ rats 123-mech.pl 
Entries in perl database: 33
Entries in ruby database: 46
Entries in python database: 62
Entries in c database: 334
Entries in php database: 55
Analyzing 123-mech.pl
Total lines analyzed: 32
Total time 0.000077 seconds
415584 lines per second

[k_kamil]

Witam,

Zgodzę się z TQM co do "dodatkowo wykorzystaj: wikto, nikto, webscarab, burp suite, w3af, appscan, komercyjny webinspect jesli masz klikanascie $

obowiazkowo do przejrzenia:
OWASP"

Jednakże jest jeszcze jedno ciekawe rozwiązanie, które sam stosuje a mianowicie Acunetix WVS. Jest to o tyle fajne rozwiązanie, że pozwala sprawdzić aplikację pod kątem wielu różnych ataków dynamicznych - nie tylko SQL czy XSS.

Ciekawą opcją jest możliwość zagnieżdżenia AcuSensora w kodzie i analizę zachowania aplikacji "od środka".

Korzystam z Acunetixa od 7 miesięcy i jestem zadowolony. Co więcej - mieliśmy na początku roku audyt bezpieczeństwa aplikacji i firma, która to robiła też korzystała z Acunetixa.

Jeśli masz jakieś pytania co do rozwiązania daj znać - z tego co pamiętam, na stronie producenta jest do pobrania demo.

[adam_r]

Jednakże jest jeszcze jedno ciekawe rozwiązanie, które sam stosuje a mianowicie Acunetix WVS.

A jak to rozwiązanie klaruje się cenowo?

[testujemy]

Poszukuję rozwiązania, za pomocą którego mógłbym sprawdzić źródła napisanej przeze mnie strony od wewnątrz.Sama strona napisana w PHP z elementami AJAXa i skryptów Java. Zależy mi też na zweryfikowaniu podatności strony na najbardziej popularne ataki. Możecie coś zaproponować?

proponuje pentest