Escáner de vulnerabilidades del sitio web en Java && Open Source [cerrado]

2

Estoy trabajando en una plataforma web que debe tener un buen nivel de seguridad.

Por lo tanto, estoy interesado en una herramienta de buena calidad para probar el control de calidad de mi plataforma web sobre seguridad.

Mi principal habilidad de programación es Java.

¿Existe una herramienta de código abierto realmente buena para el escaneo del sitio web, por ejemplo? OWASP, comprobación automática de cookies y cosas similares. Lo ideal es escribirlo en Java (necesita poder personalizarlo)

Esperamos escuchar sus sugerencias,

    
pregunta BlueBerry - Vignesh4303 27.03.2013 - 22:17
fuente

5 respuestas

5

Puede realizar algunos análisis automáticos con OWASP ZAP o Burp (Burp no es gratis).

    
respondido por el Lucas Kauffman 28.03.2013 - 08:10
fuente
3

Si decide utilizar ZAP (y obviamente espero que lo haga), considere la posibilidad de incluir las personalizaciones que necesite para volver a ZAP. ZAP es un proyecto comunitario: intentamos animar a la mayor cantidad posible de personas a participar. Y si envía algún código de buena calidad, le daremos acceso de confirmación :)

También tenemos un grupo de desarrolladores muy activo, por lo que si tiene alguna pregunta sobre los componentes internos de ZAP, pregúnteles aquí: enlace

Saludos,

Simon (Líder de Proyecto ZAP)

    
respondido por el Simon Bennetts 07.04.2013 - 19:03
fuente
1

Para nombrar unos pocos, w3af (buena), skipfish , Arachni (excelente informe), OWASP ZAP , VEGA , Wapiti

Estos son los pocos con los que he trabajado. Aunque no están escritos en Java. w3af y Wapiti están escritos en python, Arachni en ruby, Skipfish están escritos en C. No estoy seguro de VEGA y creo que OWASP ZAP está escrito en Java

    
respondido por el aRun 28.03.2013 - 09:54
fuente
0

¿Está desarrollando la plataforma Web usted mismo? Si es así, eche un vistazo a la más actual OWASP Top Ten 2013 , especialmente los mecanismos de prevención.

Las herramientas mencionadas por aRun y Lucas son excelentes, pero si no has trabajado con ellas antes, probablemente solo encuentres problemas de seguridad muy obvios. Si la plataforma realmente requiere un "buen nivel de seguridad" (sea lo que sea lo que eso significa exactamente), probablemente debería conseguir que otra persona con conocimientos de Pruebas de seguridad de aplicaciones web compruebe su sitio.

    
respondido por el twobeers 28.03.2013 - 11:34
fuente
0

Un gran recurso en esta área es The Web Application Security Consortium . Han fechado lista de los escáneres de seguridad de aplicaciones web desglosados por licencia tipo.

Los dos que serían más relevantes para usted según el requisito de Java / Open Source son OWASP ZAP y andiparos . El desarrollo en andiparos parece haberse detenido en 2010 para centrarse en ZAP. Así que ZAP es probablemente tu mejor apuesta.

    
respondido por el sdanelson 29.03.2013 - 15:48
fuente

Lea otras preguntas en las etiquetas