[Owasp-turkey] Web Uygulamasi Guvenlik Tarayicilari

Deniz Cevik Deniz.Cevik at intellect.com.tr
Fri Jul 20 02:51:50 EDT 2007


Cenzic'I denemedim ama bu üçü oldukça iyi Webking'I de listenize eklemenizi tavsiye ederim. Özellikle amerika pazarında etkili bir ürün olarqak gözüküyor.

 

________________________________

From: Ferruh Mavituna [mailto:ferruh at mavituna.com] 
Sent: Thursday, July 19, 2007 6:31 PM
To: Enis Karaarslan; Deniz Cevik
Cc: owasp-turkey at lists.owasp.org
Subject: Re: [Owasp-turkey] Web Uygulamasi Guvenlik Tarayicilari

 

Herkese selamlar,

OWASP' in sayfasini kacirmisim gerci pek aktif gibi de degil, sayfayi guncellemek lazim aslinda.

"Dr. Holger Peine" in o yazisini okumustum ancak bir defa daha okumak icin arayinca bulamadim, sonradan da kendi arsivlerimde bir yerde kaydettigimi buldum. Dediginiz gibi internette olmadigindan ben bu e-mail a da attachment olarak onu ekledim. 

XSS ve SQL İnjection testlerinde ise False positive oranı eğer iyi ayarlanmaz ise artabiliyor. Bu ürünleri genellikle burpsuite gibi daha fazla kullanıcı etkileşimi gerektiren ürünler ile desteklemeye çalışyorum. Büyük sitelerde ise nelerin craw edileceği iyi ayarlanmaz ise gereksiz yere saatlerce tarama sürebiliyor. Bu konuda bence watchfire webinspect'e gore daha iyi. En azından testin ne zaman biteceğini kestirebiliyorsunuz.

Ozellikle crawl konusuna katiliyorum. 

Milescan' da listemdeydi. Acikcasi cok bir sey beklemiyorum ama bizi sasirtabilir. Typhon III bildigim kadariyla biraz eski ve uzerinde de NGS pek dusmuyor galiba o yuzden ondan da cok bir sey beklemiyorum ama bakalim. 

Su an listemde su yazilimlar var,

*	WebInspect 7
*	Acunetix
*	AppScan
*	Nstealth
*	Typhon III
*	HailStorm Pro

Kalin yazdiklarim daha umutlu olduklarim, onlarin haricinde pek umudum olmasa da gene de denemeye calisacagim.

Herhalde yukaridaki harici bunlara rakip olabilecek kacirdigimiz bir yazilim yok. 

On 12/07/07, Enis Karaarslan <enis.karaarslan at ege.edu.tr> wrote:

selamlar,

Ben Acunetix gibi çeşitli black box vulnerability texting programlarını
denedim. Ama bunlar hakkında detaylı bir inceleme için
Dr. Holger Peine'in çok kapsamlı bir araştırması var, onu tavsiye edebilirim 

2006, Security Test Tools for Web Applications, IESE Report-Nr. 048.06/D, A
Fraunhofer IESE Publication,

Gerçi
http://www.iese.fraunhofer.de/download/Security-Checker-Tools-for-Web-Applications.pdf
çalışmıyor ama istenirse ortak bi alana koyabiliriz.

Bunun yanı sıra, Owasp'ın bu tür tool'ları inceleyen alt grupları var- Ferruh 
Bey biliyordur gerçi ama bilmeyenler için:
http://www.owasp.org/index.php/Category:OWASP_Tools_Project

incelenebilecek ilginc bir benchmark icin: 
http://www.virtualforge.de/whitepapers/web_scanner_benchmark.pdf

Enis Karaarslan

On Thursday 12 July 2007 00:15:24 Ferruh Mavituna wrote: 
> Selamlar,
>
> Farkli web uygulamasi guvenlik tarayicilari hakkinda kucuk bir arastirma
> yapiyor ve tabiri caizse kendime gore en iyisini bulmaya calisiyorum. Web
> Inspect harici kullandiginiz ya da daha onceden kullanma sansina sahip 
> oldugunuz tarayicilar hangileri, ne kadar memnun kaldiniz ? Zayif kalan
> yanlari neydi?
>
> Ve genel fikirleriniz nelerdir? Ya da piyasaya yeni giren guzel yazilimlar
> var mi ?
>
> Benim 1 yil once kadarki testlerimde ben en cok Acunetix ile Web Inspect i
> begenmistim. Bunun harici piyasada bir cok yazilim. Hailstorm, Appscan,
> Nstealth hatta maxpatrol (network temelli ama web kismi da var) hemen 
> aklima gelenler.
>
> Kisisel testlerimden sonra notlarimi da tekrar burada kisa sekilde
> yayinlamaya calisacagim.
>
>
>
> Tesekkurler,



--
-------------------------- 
Enis Karaarslan
Ege Üniversitesi
Kampüs Network Yöneticisi
--------------------------




-- 
Ferruh Mavituna
http://ferruh.mavituna.com 

-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20070720/2f66a4cd/attachment.html 


More information about the Owasp-turkey mailing list