我們正在開發使用Spring框架和Hibernate ORM的Web應用程序。就應用程序安全性而言,我們正在使用acegi來提供身份驗證和授權支持。Web應用程序安全測試
現在關於用戶輸入衛生,我們已經試圖採取像XSS和SQL注入等攻擊。我們已經盡力爲數據庫更新和查詢使用準備好的語句和休眠條件。輸入也爲javascript進行了消毒處理。
爲了測試這些問題,我們曾嘗試使用工具,如Firebug,Tamper IE和Fiddler2等
我們也使用類似Watch Mouse工具來進行攻擊測試。
什麼是可用於Web應用程序安全性的其他工具,以及在開始Web應用程序安全性測試之前需要考慮的事項是什麼。
感謝您
惠普有一個叫做的WebInspect安全評估工具,但它不是免費的,我不會推薦它。我的公司不知道如何使用它,或者該工具沒有發現漏洞的一致性。
你最好聘請一個真正的鋼筆測試機構簽約,以尋找在您的網站的漏洞。當然,你可以運行自動掃描儀,但它們只能做很多。你可能會浪費更多的金錢和資源,試圖學習和實施適當的鋼筆測試,然後你會僱用別人來做。
,你問這個問題,這意味着你沒有資格給予的那種信心或完全覆蓋商業應用程序將需要推出之前。
如果您沒有嘗試開發內部安全測試團隊,招聘和外部團隊來測試應用程序將是一個更好的主意 – 2009-11-06 16:41:32
OP是一個應用程序開發人員,而不是一個破解安全測試人員誰使各種可能的各種exploit持續最新技術他的工作。 – 2009-11-06 16:44:16
Burpsuite是Web應用程序測試的好工具。
但我同意僱用一個外部團隊,但是如果你的公司不能/不會,那麼週末就要熟悉BurpSuite,你無疑會發現一些錯誤。
您可以使用AppScan的,但它不是免費的。
我同意那些鼓勵你去找外部鋼筆測試公司的人,如果你現在想要最好的結果的話。
也就是說,我用過的最好的全能網絡應用筆測試工具之一是Burp Suite(portswigger.net)。有一個免費版本,讓你的大部分功能,但在專業版中,增加了一個漏洞掃描和保存狀態的能力投資$ 400是非常值得的。
此外,您應該非常熟悉OWASP組織(owasp.org)以及他們爲Web應用程序安全提供的信息/工具。如果您知道如何使用它們,Cheat Sheets和測試指南可以非常有幫助。最後,如果您決定建立自己的應用安全團隊,那麼您應該考慮聘請一些具有豐富的應用安全經驗以及軟件開發背景的人員。除安全測試外,還有更多應用程序安全性。靜態安全代碼分析和威脅建模只是您應該考慮的其他領域中的兩個。
+1表示悲觀/消極。 – 2009-11-06 16:44:47