一般的な脆弱性をチェックするツールはありますか？

Webサイトに一般的な脆弱性（SQLインジェクション、XSSなど）があるかどうかを確認できる優れたツール（デスクトップまたはオンライン）はありますか？

websecurifyは、私が見つけた最高のFOSSプロジェクトです。

GoogleのSkipfishをチェックしてください。Skipfishは非常に包括的で、ユーザーが提供する辞書から機能します。デフォルト（標準/キッチンシンク）が含まれています。

また、私が使用した他のものよりも少し「穏やか」ですが、結果を比較するための同じ機能を備えたものを見つけることができません。

その書かれたCは、非常に有益な出力を持ち、非常に使いやすいです。標準の* nixサーバー、または高速接続の場合は自宅から実行することをお勧めします。また、リアルタイムの更新を行うスマートリクエストキューシステムも備えています。実際に動作するのを見るのは楽しいです。

ほとんどの脆弱性に加えて、気づかないかもしれない他の多くの問題について報告します。少し面白味がありますが、そのようなツールには質がいいです。

結果のスクリーンショット（少し古い）：

代替テキストhttp://skipfish.googlecode.com/files/skipfish-screen.png

多くの優れた自動化されたオープンソースのブラックボックスWebアプリケーション脆弱性スキャナーがあります。

• w3af
• websecurify
• スキップフィッシュ
• Netsparker Community Edition（機能制限付きで無料）
• 日東

1つの自動スキャナーだけに頼らず、それぞれに長所と短所があるため、常にいくつかを実行して結果を比較するのが最善です。また、偽陽性と偽陰性をチェックする必要があります。

自動化された脆弱性スキャンは代わりに使用できますが、脆弱性を理解し、さらに手動で脆弱性をチェックできるセキュリティ専門家が常にバックアップする必要があります。自動スキャンは良いスタートであり、何もないよりはましです。

Microsoftには、これを行うコード分​​析ツールがあります（ここにチャンネル9のビデオがあり、v1のダウンロードリンクがあります）。ウィキペディアには、静的コード分析ツールのかなり良いリストもあります。

GoogleのRatProxyは、XSSをチェックするための非常に優れたオプションでもあります。プロキシとして設定され、動作するため、サイトを通常どおりにテストするときにブラウザをたどるだけなので、簡単に使用できます。すべてのインタラクション、POST、GETなどを記録し、悪意のあるコンテンツを注入しようとするインタラクションを再生できます。要求を再生すると、XSSの兆候がないか出力を確認します。さらに、HTTPライフサイクル全体の記録を保持し、さらにデバッグするために使用できます。

HPには、一般的なSQLインジェクションの脆弱性をチェックするためのScrawlrがあります。

私はこの種のことを長い間行ってきましたが、最良の解決策は経験豊富なテスターを使用してセキュリティプロファイルをチェックすることですが、これらの種類の脆弱性のテストは実際には自動化が非常に簡単です。6か月間で約1000のWebアプリケーションをテストするプログラムを管理してきた私にとって、傑出したツールはIBMのAppScanとBurpであると言えます。

Burpに入力検証の失敗を簡単に確認させ、SQLインジェクションとXSSの問題を整理します。これらのタイプの脆弱性を非常によくカバーできます。

w3afは、Web監査に利用できる最高の作品の1つであり、FOSSでもあります。

「w3afは、Webアプリケーションの攻撃および監査フレームワークです。プロジェクトの目標は、使いやすく拡張しやすいWebアプリケーションの脆弱性を見つけて悪用するフレームワークを作成することです。」

試してみてください

Acunetix Webの脆弱性は本当に良いです。私はそれを使って、本当に気に入っています。XSS、SQLインジェクション、弱いアップロードシステムなど、多くのWebサイトをスキャンできます。楽しめ。