[Owasp-turkey] Web Uygulamasi Guvenlik Tarayicilari

Deniz Cevik Deniz.Cevik at intellect.com.tr
Thu Jul 12 03:03:03 EDT 2007


Selamlar,

 

Webinspect ve Watchfire birbirine oldukça yakın ürünler. Bence oldukça iyiler, Ancak özellikle static içerikleri tarama konusunda eksiklikleri bulunuyor. Ben bu konuda kendi yazdığım cgi-scanner ile desteklemeye çalışıyorum. Genelde yaptığımız testlerde tespit ettiğimiz bilgi yayınlamaya yönelik açıklar içeren sayfaları bulmaya yönelik bir araç. Örneğin cgi-scanner'in bir parçası olan oracle application server için scaner'a http://support.intellect.com.tr/content/view/75/33/

 adresinden indirebilirsiniz. İçeriğinde hala oracle bildirilmiş fakat yaması hazırlanma aşamasında olan açıklar yer alıyor. Webfuzzer'da bu konuda çok yardımcı olabilir. http://www.edge-security.com/wfuzz.php

 

XSS ve SQL İnjection testlerinde ise False positive oranı eğer iyi ayarlanmaz ise artabiliyor. Bu ürünleri genellikle burpsuite gibi daha fazla kullanıcı etkileşimi gerektiren ürünler ile desteklemeye çalışyorum. Büyük sitelerde ise nelerin craw edileceği iyi ayarlanmaz ise gereksiz yere saatlerce tarama sürebiliyor. Bu konuda bence watchfire webinspect'e gore daha iyi. En azından testin ne zaman biteceğini kestirebiliyorsunuz.

 

Acunetix'in 5.0 versiyonunu tam olarak test edemedim ama eski versiyonu bence bu iki ürünün gerisinde kalıyordu. Fakat fiyatı yukarıdaki iki ürünle karşılaştırılınca satın alınabilecek en uygun ürün gibi gözüküyor. Nstealth eski sürümleri sadece static açıkları tarayan bir cgi-scanner'dı. Belkide bu konuda en iyi database'e sahip ürün. 2006 sürümü ile birlikte web uygulamasına yönelik sqli,xss gibi dinamik açıklara karşıda controller yapabiliyor. Full versiyonunu deneyememe rağmen oldukça başarılı buldum.

 

Bunlar dışında matrixray Oracle Application Server ve veri tabanı taramalarında yararlanabilecek bir araç.

MaxPatrol lisanslı olarak sahip olduğumuz bir başka ürün. Web konusunda kat etmesi gereken oldukça yol var ve oldukça yavaş. Ancak Maxpatrol network taraması konusunda fiyatı düşünülünce alınabilecek en uygun ürünlerden biri.

Paros'u yazanlar MilesScan isimli ticari bir ürün çıkardılar.

Sandcat ise hala çok fazla false positive üretiyor. Gelişmeye daha çok ihtiyacı var.

Test etmek istediğim ama full versiyonunu bir türlü temin edemediğim bir başka ürün ise NGSSoftware'in Typhon III sürümü. Her ay onlarca açık tespit eden bir firmanın ürününde çok başarılı olacağını düşünüyorum.

WebKing de özellikle web servislerine yönelik taramlarada çok başarılı bulduğum bir araç.

 

Birde SAMATE projesine göz atman iyi olabilir. Benzer çalışmayı onlarda yapıyorlar. http://samate.nist.gov/index.php/Main_Page

 

Saygılar.

 

________________________________

From: owasp-turkey-bounces at lists.owasp.org [mailto:owasp-turkey-bounces at lists.owasp.org] On Behalf Of Ferruh Mavituna
Sent: Wednesday, July 11, 2007 11:15 PM
To: owasp-turkey at lists.owasp.org
Subject: [Owasp-turkey] Web Uygulamasi Guvenlik Tarayicilari

 

Selamlar,

Farkli web uygulamasi guvenlik tarayicilari hakkinda kucuk bir arastirma yapiyor ve tabiri caizse kendime gore en iyisini bulmaya calisiyorum. Web Inspect harici kullandiginiz ya da daha onceden kullanma sansina sahip oldugunuz tarayicilar hangileri, ne kadar memnun kaldiniz ? Zayif kalan yanlari neydi? 

Ve genel fikirleriniz nelerdir? Ya da piyasaya yeni giren guzel yazilimlar var mi ?

Benim 1 yil once kadarki testlerimde ben en cok Acunetix ile Web Inspect i begenmistim. Bunun harici piyasada bir cok yazilim. Hailstorm, Appscan, Nstealth hatta maxpatrol (network temelli ama web kismi da var) hemen aklima gelenler. 

Kisisel testlerimden sonra notlarimi da tekrar burada kisa sekilde yayinlamaya calisacagim.



Tesekkurler,

-- 
Ferruh Mavituna
http://ferruh.mavituna.com 

-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20070712/a3fc2cdc/attachment.html 


More information about the Owasp-turkey mailing list