Программа для тестирования безопасности PHP-сайта

0

0

Посоветуйте программу для тестирования безопасности PHP-сайта (под какую ось программа и сколько стоит - не так важно).

Ссылка

←	Как сделать автозапуск ssh-agent (NetBSD & zsh)

ssh тунелинг

→

Re: Программа для тестирования безопасности PHP-сайта

nessus xspider

~~CombatPenguin~~ (05.06.06 14:35:23 MSD)

Ссылка

Re: Программа для тестирования безопасности PHP-сайта

Нет такой.

Deleted (05.06.06 19:05:19 MSD)

Ответ на: Re: Программа для тестирования безопасности PHP-сайта от Deleted 05.06.06 19:05:19 MSD

Re: Программа для тестирования безопасности PHP-сайта

Ну я видел например рекламу какой-то, которая SQL Injection'ы отлавливает. Думаю и другие подобные есть?

~~suser~~ (05.06.06 22:21:09 MSD)

Ссылка

Re: Программа для тестирования безопасности PHP-сайта

/dev/hands - бесплатно, но нужно уметь пользоватся.

Стандартные скрипты && директории && ошибки конфигурации апача можно искать nessus, но ПОЛНОЦЕННЫЙ security scanner для активного содержимого написать НЕВОЗМОЖНО - из этого и исходите. Простейший сканер можете написать сами - `grep -Rf ...` и в файлик все вызовы mail*, system и прочих опасных вещей. После запуска - сильно думать вокруг выданных строчек.

nblx (05.06.06 22:30:39 MSD)

Ответ на: Re: Программа для тестирования безопасности PHP-сайта от nblx 05.06.06 22:30:39 MSD

Re: Программа для тестирования безопасности PHP-сайта

Ну почему, можно как минимум на страничках перебором искать места, где используются GET/POST параметры и пытаться туда всякую фигню напихать.

~~suser~~ (05.06.06 23:40:59 MSD)

Ответ на: Re: Программа для тестирования безопасности PHP-сайта от nblx 05.06.06 22:30:39 MSD

Re: Программа для тестирования безопасности PHP-сайта

Да и вообще, даже исходники ядра автоматическими тестами прогоняют.

~~suser~~ (05.06.06 23:47:35 MSD)

Ссылка

Ответ на: Re: Программа для тестирования безопасности PHP-сайта от suser 05.06.06 23:40:59 MSD

Re: Программа для тестирования безопасности PHP-сайта

> Ну почему, можно как минимум на страничках перебором искать места, где используются GET/POST параметры и пытаться туда всякую фигню напихать.

Вы пытаетесь испортить или починить? :-)

nblx (05.06.06 23:49:57 MSD)

Ответ на: Re: Программа для тестирования безопасности PHP-сайта от nblx 05.06.06 23:49:57 MSD

Re: Программа для тестирования безопасности PHP-сайта

Я пытаюсь найти то, что нужно чинить. :)

~~suser~~ (06.06.06 00:13:33 MSD)

Ответ на: Re: Программа для тестирования безопасности PHP-сайта от suser 06.06.06 00:13:33 MSD

Re: Программа для тестирования безопасности PHP-сайта

> Я пытаюсь найти то, что нужно чинить. :)

Метод я описал. grep и смотрите на то, как у вас получаются передаваемые параметры.

nblx (06.06.06 00:29:21 MSD)

Ответ на: Re: Программа для тестирования безопасности PHP-сайта от nblx 06.06.06 00:29:21 MSD

Re: Программа для тестирования безопасности PHP-сайта

В чужом коде копаться руками не охота, а кто писал не будет этого делать из-за лени. :)

~~suser~~ (06.06.06 12:04:04 MSD)

Ответ на: Re: Программа для тестирования безопасности PHP-сайта от suser 06.06.06 12:04:04 MSD

Re: Программа для тестирования безопасности PHP-сайта

> В чужом коде копаться руками не охота

Значит вы никогда не будете уверенны что в коде всё ОК. Никакая программа никогда не сможет угадать насколько сильно затупил PHP-кодер в конкретном месте.

Как вариант для личного успокоения - сделайте единую обработку принимаемых переменных на тему соответствия ожидаемому. Срезайте HTML-тэги в принимаемом (если нельзя все - только опасные). Режте непечатные символы, нечётное количество кавычек, точки со слешами и т.п.

Только без ручного анализа кода всеравно нельзя будет сказать что это безопасно. :-)

nblx (06.06.06 16:53:05 MSD)

Ссылка

Ответ на: Re: Программа для тестирования безопасности PHP-сайта от suser 06.06.06 00:13:33 MSD

Re: Программа для тестирования безопасности PHP-сайта

Если уже действительно нужно что-то чинить, то сначала нужно смотреть всякие access/cache_access logs :)

Valmont ★★★ (08.06.06 01:26:27 MSD)

Ссылка

Ответ на: Re: Программа для тестирования безопасности PHP-сайта от suser 05.06.06 23:40:59 MSD

Re: Программа для тестирования безопасности PHP-сайта

xspider умеет точно.

SteepZ ★ (14.06.06 14:56:29 MSD)

Ссылка

Ответ на: Re: Программа для тестирования безопасности PHP-сайта от nblx 05.06.06 22:30:39 MSD

Re: Программа для тестирования безопасности PHP-сайта

>/dev/hands - бесплатно, но нужно уметь пользоватся.

Без нормальной поддержки /dev/brain, /dev/hands только вредит =)

ManJak ★★★★★ (11.07.06 12:25:55 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Как сделать автозапуск ssh-agent (NetBSD & zsh)

Security

ssh тунелинг

→

Re: Программа для тестирования безопасности PHP-сайта

Re: Программа для тестирования безопасности PHP-сайта

Re: Программа для тестирования безопасности PHP-сайта

Re: Программа для тестирования безопасности PHP-сайта

Re: Программа для тестирования безопасности PHP-сайта

Re: Программа для тестирования безопасности PHP-сайта

Re: Программа для тестирования безопасности PHP-сайта

Re: Программа для тестирования безопасности PHP-сайта

Re: Программа для тестирования безопасности PHP-сайта

Re: Программа для тестирования безопасности PHP-сайта

Re: Программа для тестирования безопасности PHP-сайта

Re: Программа для тестирования безопасности PHP-сайта

Re: Программа для тестирования безопасности PHP-сайта

Re: Программа для тестирования безопасности PHP-сайта

Похожие темы