मैं vulnerabilites के लिए अपने कोड को स्कैन/फ़ज़ कैसे कर सकता हूं?

Question

मैं अपने ऐप को फ़ज़ करने या कमजोरियों के लिए स्कैन करने के लिए एक स्वचालित तरीका ढूंढ रहा हूं। कृपया मान लें कि मेरा हैकिंग ज्ञान 0 है। स्रोत भी मेरे लोकहोस्ट पर है इसलिए मुझे इंटरनेट कनेक्शन पर भरोसा किए बिना इसे स्थानीय रूप से फ़ज़ करने का एक तरीका चाहिए। क्या कुछ सुरक्षा विशेषज्ञ मुझे कुछ संकेत या सिफारिशें दे सकते हैं? मुझे यकीन नहीं है कि कौन से विकल्प सबसे अच्छे हैं।

संपादित करें:

जवाब देने के लिए प्रयास करने के लिए धन्यवाद, लेकिन कोई भी अब तक बात समझ रहा है। मैं और अधिक विशिष्ट होना चाहता हूं (क्योंकि यह प्रश्न में मदद करता है) लेकिन विचारों को प्रभावित किए बिना या ध्वनि जैसा कि मैं एक विशिष्ट उत्पाद का विज्ञापन कर रहा हूं। मैं wapiti जैसे कुछ ढूंढ रहा हूं (नामों का जिक्र करने के लिए खेद है, लेकिन ऐसा करना था, क्योंकि अब तक एसक्यूएल इंजेक्शन, एक्सएसएस इत्यादि के बारे में सीखने के जवाब इस सवाल के वास्तविक "विशेषज्ञ" जवाब नहीं हैं। मुझे पहले से ही इन () के बारे में पता है। गंभीरता से, ऐसा लगता है इस सवाल ध्वनि कोई है जो सुरक्षा के बारे में नमक नहीं जानता है से पूछा जा सकता था

मैं, नहीं पूछ रहा हूँ कि क्या मैं परीक्षण करना चाहिए मैं मैं कैसे का परीक्षण करना चाहिए पूछ रहा हूँ करता है?)। I ने पहले ही स्वचालन को शामिल करने के लिए का निर्णय लिया है (और इस निर्णय में कोई मोड़ नहीं आया है जब तक कोई मुझे एक विशेषज्ञ उत्तर नहीं देता है जो इसे बेकार साबित करता है), तो कृपया मेरे निर्णय का सम्मान करें जिसे मैं स्वचालित करना चाहता हूं। मैं हर संकलित xss, sql इंजेक्शन, आदि हैक सूची के माध्यम से जाना नहीं चाहता हूं और इसे मैन्युअल रूप से अपनी साइट (यहां तक ​​कि हैकर भी इस तरह से हैक नहीं करते हैं) के खिलाफ स्वयं को आजमाएं। प्रश्न प्राप्त करने वाले किसी भी व्यक्ति को सुपर अतिरिक्त अंक।

कुछ लोग पूछ रहे हैं कि क्यों न सीखें। सर्वोत्तम प्रथाओं (जो मुझे पता है) हैकिंग जानने के समान नहीं हैं। कुछ लोग तर्क देना चाहते हैं कि वे एक फ्लिप-सिक्का हैं, लेकिन मैं निश्चित रूप से सहमत नहीं हूं :) इसलिए मुझे "हैकर मानसिकता" वाले किसी व्यक्ति द्वारा सुरक्षा उपकरण की आवश्यकता है। यह कैसे चोट पहुंचाने वाला है, असल में, आपको इसे भी आजमा देना चाहिए;) विशेषज्ञ उत्तर जो जानते हैं उनसे कृपया।

Answer 1

services हैं जो कमजोरियों के लिए स्वचालित स्कैन करेंगे। वे सब कुछ नहीं पकड़ेंगे, लेकिन आपको समस्याओं की पहचान करने में मदद करेंगे। आपकी सबसे अच्छी शर्त इन सेवाओं में से किसी एक का उपयोग करना और कुछ सुरक्षा सर्वोत्तम प्रथाओं को सीखना है।

sql injection और cross site scripting के बारे में सीखना शुरू करें। भेद्यता को ठीक करने के लिए ये सबसे बड़ी और आसान हैं।

प्रोग्रामिंग रक्षात्मक रूप से एक कौशल है कि प्रत्येक प्रोग्रामर को आईएमएचओ सीखना चाहिए।

इन मुद्दों को स्वयं समझने के लिए कोई विकल्प नहीं है।

Answer 2

इससे पहले कि आप स्वचालन पर पागल हो जाएं (जो संभावित रूप से आपको परिणाम नहीं मिलेगा), मैं सुझाव दूंगा कि आप इसके बजाय सुरक्षित कोड लिखना पढ़ लें और उन चीज़ों की पहचान करना सीखें जो आप गलत कर रहे हैं। यहाँ कुछ ट्यूटोरियल पाने के लिए आप शुरू कर रहे हैं:

http://php.net/manual/en/security.php

उसमें असफल होने पर मैं अगर तुम इसे बर्दाश्त कर सकते एक सुरक्षा फर्म के लिए अपने कोड आउटसोर्सिंग सुझाव देना चाहेंगे।

शुभकामनाएं!

Answer 3

बशर्ते आप सी को जानते हों, आप स्पाइक के साथ काम कर सकते हैं, किसी भी चीज में ओवरफ्लो के लिए मैन्युअल जांच करने के लिए हमेशा अच्छा होता है, जिसे अंततः उपयोगकर्ता द्वारा स्पर्श किया जा सकता है, प्रारूप% स्ट्रिंग के लिए सामान्य% x% x% x परीक्षण हमले, और बस अपने स्थिर विश्लेषण में मेहनती होने के लिए।

पीचफज़ और स्पीक दोनों अच्छी तरह से प्रलेखित हैं।

विफल होने के कारण, स्वयं लिखना तुच्छ है।

Answer 4

अपने प्रश्न का सख्ती से जवाब देने के लिए आपको एक उपकरण का उपयोग करके परीक्षण करना चाहिए। आपके द्वारा उपयोग किए जा सकने वाले 2 मुख्य प्रकार के टूल हैं, एक सुरक्षा स्कैनर जो सक्रिय रूप से चल रही वेबसाइट या स्थैतिक विश्लेषण टूल की जांच करता है जो आपके वेबपैप को बनाने के लिए उपयोग किए जाने वाले स्रोत कोड पर चलता है।

संक्षिप्त उत्तर यह है कि आप एक सुरक्षा स्कैनिंग उपकरण जैसे वैपीटी या burp चाहते हैं। इस तरह के उपकरण आपकी साइट के लिए विशिष्ट रूप से सुरक्षा परीक्षणों का निर्माण और निष्पादन निष्पादित करते हैं। आप मैन्युअल रूप से अपनी साइट का शोषण करने का प्रयास कर सकते हैं लेकिन इसमें बहुत समय लगेगा और कोई मूल्य प्रदान नहीं करेगा। ज्ञात xss या sql इंजेक्शन समस्याओं की एक सूची के माध्यम से जाना आपके लिए बेकार होगा क्योंकि प्रत्येक समस्या साइट पर लागू होती है जो यह लागू होती है। इसके अलावा ये उपकरण आपकी साइट पर बेहतर हमला कर सकते हैं तो आप आपको अधिक कठोर सुरक्षा तनाव परीक्षण दे सकते हैं।

2 मुख्य उपकरण हैं जिनका आप उपयोग कर सकते हैं, स्थिर विश्लेषण उपकरण और गतिशील विश्लेषण उपकरण। आपके स्रोत कोड में स्टेटिक विश्लेषण टूल पढ़ते हैं, ऐप के माध्यम से डेटा बहने के तरीके को समझें और सुरक्षा समस्याओं की तलाश करें। उनकी जड़ पर अधिकांश सुरक्षा समस्याएं उपयोगकर्ता को कुछ डेटा को नियंत्रित करने की इजाजत दे रही हैं जो किसी एप्लिकेशन के अनुचित हिस्से में बहती है, भले ही ऐप नहीं चल रहा हो और आप रोकथाम की समस्या के खिलाफ रगड़ें, "अनुमान लगाने" की कोशिश कर रहे स्थिर विश्लेषण विधि और कोशिश कर रहे हैं प्रत्येक कोड पथ से बाहर अच्छे परिणाम मिल सकते हैं। स्टेटिक विश्लेषण उपकरण भाषा निर्भर हैं और अधिकतर महंगी हैं। कुछ मुक्त लोगों FxCop (सी #), PMD और FindBugs (जावा),, इस आवाज़ को देखने http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis

गतिशील विश्लेषण उपकरण (सामान्यतः सिर्फ बुलाया "सुरक्षा स्कैनर") आप सेटअप अपने webapp की आवश्यकता होती है तो यह इसके खिलाफ परीक्षण चला सकते हैं आप जो चाहते हैं उसकी तरह। यहां मेरा पसंदीदा टूल burp है, कुछ मुफ्त में wapiti शामिल है जो भी अच्छा है। ये टूल देखेंगे कि आपका ऐप डेटा कैसे संभालता है, इनपुट की तलाश करता है और भेद्यता को ट्रिगर करने के प्रयास में उन्हें दुर्भावनापूर्ण डेटा से भरता है। क्रॉस-साइट स्क्रिप्टिंग परिलक्षित परीक्षण के लिए एक उदाहरण परीक्षण होगा, स्कैनर एक पृष्ठ को देखेगा और प्रत्येक क्वेरीस्ट्रिंग मान, कुकी मूल्य, फॉर्म मान इत्यादि में जावास्क्रिप्ट डालें और फिर पेज को प्रस्तुत करने के लिए यह देखने के लिए कि दुर्भावनापूर्ण जावास्क्रिप्ट वापस ईकोड था या नहीं पृष्ठ।

आपको शायद फ़ूज़र की आवश्यकता नहीं है या नहीं चाहिए। फ़ज़िंग टूल अधिकतर पार्सिंग कोड होने पर आपकी सहायता करते हैं, इसलिए फ़ूज़र वेबपैप के लिए सबसे अच्छा फिट नहीं है, जबकि यह आपके द्वारा बनाए जा रहे प्रोटोकॉल के लिए उपयुक्त होगा। उपरोक्त सूचीबद्ध सुरक्षा स्कैनर टूल में सीमित फ़ज़िंग क्षमताएं हैं और आपको शायद इसके बाद और आवश्यकता नहीं है। फज़र्स को बनाने में भी समय लगता है। फज़र्स को अक्सर सी/सी ++ कोड में अधिक सामान मिलते हैं क्योंकि वेबपैस मामले में पहले से ही सही काम करने में कम पुस्तकालय हैं, इसलिए बोलने के लिए "फज़र्स खेलने के लिए कमरा" कम है।

Answer 5

जानना कि क्या फ़ज़िंग है और आप कैसे संपर्क करना चाहते हैं, यह आवश्यक रूप से कमजोरियों और त्रुटियों के लिए अपने सॉफ़्टवेयर का परीक्षण और मूल्यांकन करने के लिए आवश्यक कौशल का नेतृत्व नहीं करता है। आपको स्वचालित परीक्षण का उपयोग करने की आवश्यकता है, लेकिन एक ट्यूनेड तरीके से जहां आप परीक्षण को संशोधित करते हैं, जो टूल कर रहा है क्योंकि आपको नए इनपुट पथ, इंटरैक्शन आदि मिलते हैं।

असल में, मैं जो कह रहा हूं वह यह है कि आपको यह जानने की ज़रूरत है कि आप क्या कर रहे हैं यदि आप इसे वास्तविक मूल्य जोड़ना चाहते हैं। आप केवल एक उपकरण नहीं चुन सकते हैं, इसे चला सकते हैं, और अच्छे नतीजे पाने की उम्मीद कर सकते हैं। आपको किसी ऐसे व्यक्ति की आवश्यकता है जो इस प्रकार के परीक्षण को आपके साथ या आपके लिए काम करने के लिए करे। उपकरण उपयोगी हैं, लेकिन इस कला में कुशल किसी के द्वारा उपयोग किए जाने पर केवल उपयोगी परिणाम उत्पन्न कर सकते हैं।

Answer 6

मैंने पारोस - http://www.parosproxy.org/ का उपयोग किया है - इसका नि: शुल्क, उपयोग करने में आसान और त्रुटि के कारण, संभावित फिक्स और इसे दोहराने के तरीके (आमतौर पर एक लिंक) प्रदर्शित करता है।

अपनी संपूर्ण साइट को कॉन्फ़िगर करना और मकड़ियों को आसान बनाना - यह स्थानीय स्थापनाओं को भी मकड़ी दे सकता है।

इसमें एक गुई भी है।

इसकी पुरानी, ​​लेकिन यह अच्छी और आसान है।

मैंने वैपिटी को कॉन्फ़िगर करने का प्रयास किया लेकिन यह मेरे लिए बहुत मुश्किल था।

Answer 7

मैं अपने खुद के आवेदन के लिए कई वर्षों के लिए इस विषय पर शोध किया गया है और पाया हाल ही में एक बेहतरीन टूल जो PAROS पर आधारित था OWASP से

इसके जैप (मेरे अन्य जवाब ऊपर देखें) और बतख पागल है।

• https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

सबसे अच्छी चीजों में आप कर सकते हैं में से एक अपनी परियोजना के स्वचालन में जैप एकीकृत/ताकि निर्माण जब भी आप एक निर्माण परीक्षण रन करते हैं।

इससे भी बेहतर, आप अपने सेलेनियम स्वचालित परीक्षणों के बगल में बैठ सकते हैं जो आपके द्वारा परीक्षण किए जाने वाले पृष्ठों को 'एकत्रित' करने के लिए कर सकते हैं, फिर ...... उनको नरक स्कैन करें!

यह वास्तव में अच्छी तरह से प्रलेखित है, लेकिन आपको एक तेज पीसी की आवश्यकता होगी क्योंकि यह प्रति पृष्ठ सैकड़ों परीक्षण चलाता है। यदि आप पूरी साइट कर रहे हैं तो इसमें कुछ समय लग सकता है।

कुछ अन्य उपकरण आपको

• http://sqlmap.org/

मैं इस उपकरण पाया विचार करना चाह सकते .... उपयोग करने के लिए scarily आसान और बहुत बहुत व्यापक हैं।

जब भी मुझे लगता है कि मैंने जेएपी के साथ 'झूठी सकारात्मक' सोचा था, तो मैं एसक्यूएलएमएपी के साथ पेज स्कैन करूंगा (आपको यह समझना होगा कि पाइथन का उपयोग कैसे करें - यह आसान है, कुछ घंटों का समय लिया गया है) और एसक्यूएलएमएपी या तो झूठी सकारात्मक सत्यापित करें या भेद्यता को ढूंढें।

Answer 8

यदि आप एक डब्ल्यूएएमपी (एलएएमपी के विपरीत) स्टैक चला रहे हैं, और आपके पास PHP कोड तक पहुंच है तो आप PHP भेद्यता हंटर (http://www.autosectools.com/Page/PHP-Vulnerability-Hunter-Change-Log) पर एक नज़र डालना चाहते हैं।