我们正在使用 Spring 框架和 Hibernate ORM 开发一个 Web 应用程序。就应用程序安全而言,我们使用 acegi 来提供身份验证和授权支持。
现在关于用户输入卫生,我们已经尝试处理 XSS 和 sql 注入等攻击。我们尝试尽可能多地使用准备好的语句和休眠条件来进行数据库更新和查询。输入也针对 javascript 进行了清理。
为了测试这些,我们尝试使用Firebug、Tamper IE和Fiddler2等工具。
我们还使用Watch Mouse等工具进行漏洞测试。
可用于 Web 应用程序安全的其他工具有哪些,以及在开始 Web 应用程序安全测试之前需要考虑哪些事项。
谢谢
HP 有一个名为 Webinspect 的安全评估工具,但它不是免费的,我不推荐它。要么我的公司不知道如何使用它,要么该工具在查找漏洞方面没有一致性。
您最好聘请一个实际的渗透测试承包机构来寻找您网站中的漏洞。当然,您可以运行自动扫描仪,但它们只能做这么多。您可能会浪费更多的金钱和资源来尝试学习和实施适当的渗透测试,然后您只会雇用其他人来做。
您提出这个问题的事实意味着您没有资格提供商业应用程序在发布前需要的那种信心或完整的覆盖范围。
您可以使用 AppScan,但它不是免费的。
Burpsuite 是一个很棒的 Web 应用程序测试工具。
但是,我确实同意聘请外部团队,但是如果您的公司不能/不愿意,请花一个周末来熟悉 BurpSuite,您无疑会发现一些错误。
如果你现在想要最好的结果,我同意那些鼓励你寻找外部渗透测试公司的人的观点。
也就是说,我用过的最好的全方位网络应用笔测试工具之一是 Burp Suite (portswigger.net)。有一个免费版本可以为您提供大部分功能,但在 Pro 版本中投资 400 美元(增加了漏洞扫描器和保存状态的能力)是非常值得的。
此外,您应该非常熟悉 OWASP 组织 (owasp.org),以及他们为 Web 应用程序安全提供的信息/工具。如果您知道如何使用备忘单和测试指南,它们会非常有用。
最后,如果你决心建立自己的应用安全团队,那么你应该考虑聘请一些具有丰富应用安全经验和软件开发背景的人。应用程序安全性不仅仅是安全测试。静态安全代码分析和威胁建模只是您应该考虑的其他两个领域。