2008年7月11日 星期五

WebSite Security網站安全性測試軟體

使用下面軟體測試網站時,請先以備援網站測試,以策安全
RatProxy為Google提供之網站安全性檢測工具

WebSecurity,提供Web安全性檢查評估報告(如:XSS ,CSRF等)工具,
安裝新版本後,執行出現"無法找到程序輸入點",Couldn't load XPCOM,原因是舊的版本並未移除,故移除重裝後即可正常執行


(開放源碼)Web application vulnerability scanner(Wapiti)
使用方式需搭配Python指令一起使用,即 python wapiti.py http://www.example.com.tw/base/url/

(開放源碼)WebScarab是OWASP提供分析http與https協定之安全性檢查軟體,支援Linux,Windows,Mac等作業系統

Vega,
Acunetix ,Cross-Site Scripting Framework (XSSF),Cross Site Scripting(XSS) Vulnerabilities Scanner (偵測XSS漏洞工具),
XSS相關參考工具:
微軟Anti-Cross Site Scripting Library
微軟XSS Detect Beta Code Analysis Tool,需搭配Visual Studio 2005一起才能使用
x5s,搭配Fiddler Add-on使用

(開放源碼)Pantera是OWASP提供之滲透測試軟體,使用需求Python、MySql、Python MySql Wrapper、OpenSSL,安裝說明請參考下載解壓縮檔後之INSTALL.txt說明

Sprajax是供AJAX frameworks網站安全性測試軟體
GroundSpeed,Firefox外掛網頁安全性檢測工具

(GPL)ProxMon

(開放源碼)Paros
(開放源碼)HconSTF, Open Source Penetration Testing Framework,提供多元網站安全性檢測工具,如Sql Inject,XSS,PortScan,OWASP常見漏洞檢測

Burp Proxy,透過Proxy,以man-in-the-middle手法進行安全性測試

SPIKE Proxy,解壓縮檔案需存放於C槽之SPIKEProxy資料夾,搭配runme.bat批次檔設定Path參數後執行

相關參考資訊

Http Sniffer ,可檢視http或https網路封包資訊,查詢Port連線狀態及相關鏈結
http-ping,命令提示列方式,查詢網站是否正常回應及偵測執行時間 (http-ping -q -c http://www.example.com.tw)

IE瀏覽器相關工具:
Internet Explorer Collection,提供IE相關版本供測試使用
Microsoft Internet Explorer Application Compatibility VPC Image,搭配微軟VPC軟體,可進行不同IE版本測試

網站應用程式測試參考日文書籍