[Owasp-turkey] Web Uygulamasi Guvenlik Tarayicilari

Ferruh Mavituna ferruh at mavituna.com
Fri Jul 20 04:33:55 EDT 2007


WebKing e biraz baktim ama black-box testler icin o kadar kullanisli
olacagini sanmiyorum cunku guvenlikten zok kaliteye yonelmis bir yazilim
gibi. Ya da bir suru kural yazmak gerekecek gibi.

Ben daha onceden hailstrom un en kucuk paketini denemistim, pek verimli
degildi acikcasi.

On 20/07/07, Deniz Cevik <Deniz.Cevik at intellect.com.tr> wrote:
>
>  Cenzic'I denemedim ama bu üçü oldukça iyi Webking'I de listenize
> eklemenizi tavsiye ederim. Özellikle amerika pazarında etkili bir ürün
> olarqak gözüküyor.
>
>
>  ------------------------------
>
> *From:* Ferruh Mavituna [mailto:ferruh at mavituna.com]
> *Sent:* Thursday, July 19, 2007 6:31 PM
> *To:* Enis Karaarslan; Deniz Cevik
> *Cc:* owasp-turkey at lists.owasp.org
> *Subject:* Re: [Owasp-turkey] Web Uygulamasi Guvenlik Tarayicilari
>
>
>
> Herkese selamlar,
>
> OWASP' in sayfasini kacirmisim gerci pek aktif gibi de degil, sayfayi
> guncellemek lazim aslinda.
>
> "Dr. Holger Peine" in o yazisini okumustum ancak bir defa daha okumak icin
> arayinca bulamadim, sonradan da kendi arsivlerimde bir yerde kaydettigimi
> buldum. Dediginiz gibi internette olmadigindan ben bu e-mail a da attachment
> olarak onu ekledim.
>
> XSS ve SQL İnjection testlerinde ise False positive oranı eğer iyi
> ayarlanmaz ise artabiliyor. Bu ürünleri genellikle burpsuite gibi daha fazla
> kullanıcı etkileşimi gerektiren ürünler ile desteklemeye çalışyorum. Büyük
> sitelerde ise nelerin craw edileceği iyi ayarlanmaz ise gereksiz yere
> saatlerce tarama sürebiliyor. Bu konuda bence watchfire webinspect'e gore
> daha iyi. En azından testin ne zaman biteceğini kestirebiliyorsunuz.
>
> Ozellikle crawl konusuna katiliyorum.
>
> Milescan' da listemdeydi. Acikcasi cok bir sey beklemiyorum ama bizi
> sasirtabilir. Typhon III bildigim kadariyla biraz eski ve uzerinde de NGS
> pek dusmuyor galiba o yuzden ondan da cok bir sey beklemiyorum ama bakalim.
>
> Su an listemde su yazilimlar var,
>
>    - *WebInspect 7*
>    - *Acunetix*
>    - *AppScan*
>    - Nstealth
>    - Typhon III
>    - *HailStorm Pro*
>
> Kalin yazdiklarim daha umutlu olduklarim, onlarin haricinde pek umudum
> olmasa da gene de denemeye calisacagim.
>
> Herhalde yukaridaki harici bunlara rakip olabilecek kacirdigimiz bir
> yazilim yok.
>
> On 12/07/07, *Enis Karaarslan* <enis.karaarslan at ege.edu.tr> wrote:
>
> selamlar,
>
> Ben Acunetix gibi çeşitli black box vulnerability texting programlarını
> denedim. Ama bunlar hakkında detaylı bir inceleme için
> Dr. Holger Peine'in çok kapsamlı bir araştırması var, onu tavsiye
> edebilirim
>
> 2006, Security Test Tools for Web Applications, IESE Report-Nr. 048.06/D,
> A
> Fraunhofer IESE Publication,
>
> Gerçi
>
> http://www.iese.fraunhofer.de/download/Security-Checker-Tools-for-Web-Applications.pdf
> çalışmıyor ama istenirse ortak bi alana koyabiliriz.
>
> Bunun yanı sıra, Owasp'ın bu tür tool'ları inceleyen alt grupları var-
> Ferruh
> Bey biliyordur gerçi ama bilmeyenler için:
> http://www.owasp.org/index.php/Category:OWASP_Tools_Project
>
> incelenebilecek ilginc bir benchmark icin:
> http://www.virtualforge.de/whitepapers/web_scanner_benchmark.pdf
>
> Enis Karaarslan
>
> On Thursday 12 July 2007 00:15:24 Ferruh Mavituna wrote:
> > Selamlar,
> >
> > Farkli web uygulamasi guvenlik tarayicilari hakkinda kucuk bir arastirma
> > yapiyor ve tabiri caizse kendime gore en iyisini bulmaya calisiyorum.
> Web
> > Inspect harici kullandiginiz ya da daha onceden kullanma sansina sahip
> > oldugunuz tarayicilar hangileri, ne kadar memnun kaldiniz ? Zayif kalan
> > yanlari neydi?
> >
> > Ve genel fikirleriniz nelerdir? Ya da piyasaya yeni giren guzel
> yazilimlar
> > var mi ?
> >
> > Benim 1 yil once kadarki testlerimde ben en cok Acunetix ile Web Inspect
> i
> > begenmistim. Bunun harici piyasada bir cok yazilim. Hailstorm, Appscan,
> > Nstealth hatta maxpatrol (network temelli ama web kismi da var) hemen
> > aklima gelenler.
> >
> > Kisisel testlerimden sonra notlarimi da tekrar burada kisa sekilde
> > yayinlamaya calisacagim.
> >
> >
> >
> > Tesekkurler,
>
>
>
> --
> --------------------------
> Enis Karaarslan
> Ege Üniversitesi
> Kampüs Network Yöneticisi
> --------------------------
>
>
>
>
> --
> Ferruh Mavituna
> http://ferruh.mavituna.com
>



-- 
Ferruh Mavituna
http://ferruh.mavituna.com
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20070720/4f736243/attachment.html 


More information about the Owasp-turkey mailing list