¿Alguien sabe de una manera de administrar las vulnerabilidades de seguridad de las aplicaciones web? Estoy buscando una herramienta que pueda integrarse con selenio o eructos. Quiero poder ejecutar las pruebas una y otra vez. En la aplicación debemos estar en un cierto punto de la aplicación para explotar ciertas vulnerabilidades. No estoy seguro de que haya algo así, pero creo que lo pediría. Sería preferible el código abierto.
Hay algunas opciones ... técnicamente no debemos proporcionar recomendaciones basadas en proveedores en nuestras respuestas, pero ... como ejemplo:
HP Webinspect realizará análisis de vulnerabilidades de la aplicación web y permitirá a uno realizar un reposo / reexplorar / verificar que se hayan implementado una o varias correcciones sin volver a escanear toda la aplicación.
También se integra con HP Quality Center e IBM Rational ClearQuest para el seguimiento de vulnerabilidades.
Hay otros escáneres de vulnerabilidad de varios proveedores disponibles, como Acunetix, Nessus, Qualys y BeyondTrust, pero no estoy familiarizado con sus ofertas y tendrán diversos grados de compatibilidad con el escaneo de "aplicaciones web".
Para mí, parece que tienes dos preguntas separadas:
En lo que respecta al seguimiento, puede aprovechar Seguimiento de dependencia de OWASP
Dependency-Track tiene dos objetivos principales:
Documentar el uso de componentes de terceros en múltiples aplicaciones y determinar el uso de componentes vulnerables a través de aplicaciones
O posiblemente VScan
VScan se creó como después de una evaluación de vulnerabilidad que a veces puede Ser difícil seguir la implementación de una mejora de seguridad. programa, por lo que esta herramienta puede ayudarlo a medir su progreso y simplificar el proceso de solucionar cualquier problema encontrado.
ThreadFix es una agregación y gestión de vulnerabilidades de software. Sistema que reduce el tiempo que lleva arreglar las vulnerabilidades del software. ThreadFix importa los resultados de las pruebas dinámicas, estáticas y manuales. para proporcionar una vista centralizada de los defectos de seguridad del software a través de Equipos de desarrollo y aplicaciones.
Lea otras preguntas en las etiquetas web-application opensource vulnerability-scanners