[Owasp-turkey] Web Uygulamasi Guvenlik Tarayicilari

Kaan Gunay kgunay at gmail.com
Fri Jul 20 09:18:58 EDT 2007


Burada OWASP Toronto chapter toplantisinda bir sunum/tartismada Hailstorm
kullanicilarinin konfigure edilebilme ve testleri automate etme acisindan
cok memnun olduklari ortaya cikti. Daha once cok fazla dikkat etmedigim bu
yazilim da favori olabilir.

IBM Watchfire'i, HP de WenInspect'i satin aldi. Bakalim oyunun kurallari
bundan sonra nasil degisecek.

Kaan


On 7/20/07, Ferruh Mavituna <ferruh at mavituna.com> wrote:
>
> WebKing e biraz baktim ama black-box testler icin o kadar kullanisli
> olacagini sanmiyorum cunku guvenlikten zok kaliteye yonelmis bir yazilim
> gibi. Ya da bir suru kural yazmak gerekecek gibi.
>
> Ben daha onceden hailstrom un en kucuk paketini denemistim, pek verimli
> degildi acikcasi.
>
> On 20/07/07, Deniz Cevik <Deniz.Cevik at intellect.com.tr> wrote:
> >
> >  Cenzic'I denemedim ama bu üçü oldukça iyi Webking'I de listenize
> > eklemenizi tavsiye ederim. Özellikle amerika pazarında etkili bir ürün
> > olarqak gözüküyor.
> >
> >
> >  ------------------------------
> >
> > *From:* Ferruh Mavituna [mailto:ferruh at mavituna.com]
> > *Sent:* Thursday, July 19, 2007 6:31 PM
> > *To:* Enis Karaarslan; Deniz Cevik
> > *Cc:* owasp-turkey at lists.owasp.org
> > *Subject:* Re: [Owasp-turkey] Web Uygulamasi Guvenlik Tarayicilari
> >
> >
> >
> > Herkese selamlar,
> >
> > OWASP' in sayfasini kacirmisim gerci pek aktif gibi de degil, sayfayi
> > guncellemek lazim aslinda.
> >
> > "Dr. Holger Peine" in o yazisini okumustum ancak bir defa daha okumak
> > icin arayinca bulamadim, sonradan da kendi arsivlerimde bir yerde
> > kaydettigimi buldum. Dediginiz gibi internette olmadigindan ben bu e-mail a
> > da attachment olarak onu ekledim.
> >
> > XSS ve SQL İnjection testlerinde ise False positive oranı eğer iyi
> > ayarlanmaz ise artabiliyor. Bu ürünleri genellikle burpsuite gibi daha fazla
> > kullanıcı etkileşimi gerektiren ürünler ile desteklemeye çalışyorum. Büyük
> > sitelerde ise nelerin craw edileceği iyi ayarlanmaz ise gereksiz yere
> > saatlerce tarama sürebiliyor. Bu konuda bence watchfire webinspect'e gore
> > daha iyi. En azından testin ne zaman biteceğini kestirebiliyorsunuz.
> >
> > Ozellikle crawl konusuna katiliyorum.
> >
> > Milescan' da listemdeydi. Acikcasi cok bir sey beklemiyorum ama bizi
> > sasirtabilir. Typhon III bildigim kadariyla biraz eski ve uzerinde de NGS
> > pek dusmuyor galiba o yuzden ondan da cok bir sey beklemiyorum ama bakalim.
> >
> > Su an listemde su yazilimlar var,
> >
> >    - *WebInspect 7*
> >    - *Acunetix*
> >    - *AppScan*
> >    - Nstealth
> >    - Typhon III
> >    - *HailStorm Pro*
> >
> > Kalin yazdiklarim daha umutlu olduklarim, onlarin haricinde pek umudum
> > olmasa da gene de denemeye calisacagim.
> >
> > Herhalde yukaridaki harici bunlara rakip olabilecek kacirdigimiz bir
> > yazilim yok.
> >
> > On 12/07/07, *Enis Karaarslan* <enis.karaarslan at ege.edu.tr> wrote:
> >
> > selamlar,
> >
> > Ben Acunetix gibi çeşitli black box vulnerability texting programlarını
> > denedim. Ama bunlar hakkında detaylı bir inceleme için
> > Dr. Holger Peine'in çok kapsamlı bir araştırması var, onu tavsiye
> > edebilirim
> >
> > 2006, Security Test Tools for Web Applications, IESE Report-Nr. 048.06/D,
> > A
> > Fraunhofer IESE Publication,
> >
> > Gerçi
> > http://www.iese.fraunhofer.de/download/Security-Checker-Tools-for-Web-Applications.pdf
> >
> > çalışmıyor ama istenirse ortak bi alana koyabiliriz.
> >
> > Bunun yanı sıra, Owasp'ın bu tür tool'ları inceleyen alt grupları var-
> > Ferruh
> > Bey biliyordur gerçi ama bilmeyenler için:
> > http://www.owasp.org/index.php/Category:OWASP_Tools_Project
> >
> > incelenebilecek ilginc bir benchmark icin:
> > http://www.virtualforge.de/whitepapers/web_scanner_benchmark.pdf
> >
> > Enis Karaarslan
> >
> > On Thursday 12 July 2007 00:15:24 Ferruh Mavituna wrote:
> > > Selamlar,
> > >
> > > Farkli web uygulamasi guvenlik tarayicilari hakkinda kucuk bir
> > arastirma
> > > yapiyor ve tabiri caizse kendime gore en iyisini bulmaya calisiyorum.
> > Web
> > > Inspect harici kullandiginiz ya da daha onceden kullanma sansina sahip
> >
> > > oldugunuz tarayicilar hangileri, ne kadar memnun kaldiniz ? Zayif
> > kalan
> > > yanlari neydi?
> > >
> > > Ve genel fikirleriniz nelerdir? Ya da piyasaya yeni giren guzel
> > yazilimlar
> > > var mi ?
> > >
> > > Benim 1 yil once kadarki testlerimde ben en cok Acunetix ile Web
> > Inspect i
> > > begenmistim. Bunun harici piyasada bir cok yazilim. Hailstorm,
> > Appscan,
> > > Nstealth hatta maxpatrol (network temelli ama web kismi da var) hemen
> > > aklima gelenler.
> > >
> > > Kisisel testlerimden sonra notlarimi da tekrar burada kisa sekilde
> > > yayinlamaya calisacagim.
> > >
> > >
> > >
> > > Tesekkurler,
> >
> >
> >
> > --
> > --------------------------
> > Enis Karaarslan
> > Ege Üniversitesi
> > Kampüs Network Yöneticisi
> > --------------------------
> >
> >
> >
> >
> > --
> > Ferruh Mavituna
> > http://ferruh.mavituna.com
> >
>
>
>
> --
> Ferruh Mavituna
> http://ferruh.mavituna.com
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20070720/f5ca11b6/attachment.html 


More information about the Owasp-turkey mailing list