Escáner de vulnerabilidades del sitio web en Java && Open Source [cerrado]

Question

Escáner de vulnerabilidades del sitio web en Java && Open Source [cerrado]

#1 de Lucas Kauffman (5 votos)
#2 de Simon Bennetts (3 votos)
#3 de aRun (1 votos)
#4 de twobeers (0 votos)
#5 de sdanelson (0 votos)

2

Estoy trabajando en una plataforma web que debe tener un buen nivel de seguridad.

Por lo tanto, estoy interesado en una herramienta de buena calidad para probar el control de calidad de mi plataforma web sobre seguridad.

Mi principal habilidad de programación es Java.

¿Existe una herramienta de código abierto realmente buena para el escaneo del sitio web, por ejemplo? OWASP, comprobación automática de cookies y cosas similares. Lo ideal es escribirlo en Java (necesita poder personalizarlo)

Esperamos escuchar sus sugerencias,

java web-scanners opensource

pregunta BlueBerry - Vignesh4303 27.03.2013 - 22:17

fuente

5 respuestas

Lea otras preguntas en las etiquetas java web-scanners opensource

Seguridad en profundidad: división de claves en diferentes lugares Comprobador de seguridad de la contraseña de Microsoft

score 5 · Answer 1

5

Puede realizar algunos análisis automáticos con OWASP ZAP o Burp (Burp no es gratis).

respondido por el Lucas Kauffman 28.03.2013 - 08:10

fuente

score 3 · Answer 2

Si decide utilizar ZAP (y obviamente espero que lo haga), considere la posibilidad de incluir las personalizaciones que necesite para volver a ZAP. ZAP es un proyecto comunitario: intentamos animar a la mayor cantidad posible de personas a participar. Y si envía algún código de buena calidad, le daremos acceso de confirmación :)

También tenemos un grupo de desarrolladores muy activo, por lo que si tiene alguna pregunta sobre los componentes internos de ZAP, pregúnteles aquí: enlace

Saludos,

Simon (Líder de Proyecto ZAP)

score 1 · Answer 3

Para nombrar unos pocos, w3af (buena), skipfish , Arachni (excelente informe), OWASP ZAP , VEGA , Wapiti

Estos son los pocos con los que he trabajado. Aunque no están escritos en Java. w3af y Wapiti están escritos en python, Arachni en ruby, Skipfish están escritos en C. No estoy seguro de VEGA y creo que OWASP ZAP está escrito en Java

score 0 · Answer 4

¿Está desarrollando la plataforma Web usted mismo? Si es así, eche un vistazo a la más actual OWASP Top Ten 2013 , especialmente los mecanismos de prevención.

Las herramientas mencionadas por aRun y Lucas son excelentes, pero si no has trabajado con ellas antes, probablemente solo encuentres problemas de seguridad muy obvios. Si la plataforma realmente requiere un "buen nivel de seguridad" (sea lo que sea lo que eso significa exactamente), probablemente debería conseguir que otra persona con conocimientos de Pruebas de seguridad de aplicaciones web compruebe su sitio.

score 0 · Answer 5

Un gran recurso en esta área es The Web Application Security Consortium . Han fechado lista de los escáneres de seguridad de aplicaciones web desglosados por licencia tipo.

Los dos que serían más relevantes para usted según el requisito de Java / Open Source son OWASP ZAP y andiparos . El desarrollo en andiparos parece haberse detenido en 2010 para centrarse en ZAP. Así que ZAP es probablemente tu mejor apuesta.