Программа для тестирования безопасности PHP-сайта

0

0

Посоветуйте программу для тестирования безопасности PHP-сайта (под какую ось программа и сколько стоит - не так важно).

Ссылка

← Как сделать автозапуск ssh-agent (NetBSD & zsh)

ssh тунелинг →

nessus xspider

~~CombatPenguin~~
(05.06.06 14:35:23 MSK)

Ссылка

Нет такой.

Deleted
(05.06.06 19:05:19 MSK)

Ответ на: комментарий от Deleted 05.06.06 19:05:19 MSK

Ну я видел например рекламу какой-то, которая SQL Injection'ы отлавливает. Думаю и другие подобные есть?

~~suser~~
(05.06.06 22:21:09 MSK) автор топика

Ссылка

/dev/hands - бесплатно, но нужно уметь пользоватся.

Стандартные скрипты && директории && ошибки конфигурации апача можно искать nessus, но ПОЛНОЦЕННЫЙ security scanner для активного содержимого написать НЕВОЗМОЖНО - из этого и исходите. Простейший сканер можете написать сами - `grep -Rf ...` и в файлик все вызовы mail*, system и прочих опасных вещей. После запуска - сильно думать вокруг выданных строчек.

nblx
(05.06.06 22:30:39 MSK)

Ответ на: комментарий от nblx 05.06.06 22:30:39 MSK

Ну почему, можно как минимум на страничках перебором искать места, где используются GET/POST параметры и пытаться туда всякую фигню напихать.

~~suser~~
(05.06.06 23:40:59 MSK) автор топика

Ответ на: комментарий от nblx 05.06.06 22:30:39 MSK

Да и вообще, даже исходники ядра автоматическими тестами прогоняют.

~~suser~~
(05.06.06 23:47:35 MSK) автор топика

Ссылка

Ответ на: комментарий от suser 05.06.06 23:40:59 MSK

> Ну почему, можно как минимум на страничках перебором искать места, где используются GET/POST параметры и пытаться туда всякую фигню напихать.

Вы пытаетесь испортить или починить? :-)

nblx
(05.06.06 23:49:57 MSK)

Ответ на: комментарий от nblx 05.06.06 23:49:57 MSK

Я пытаюсь найти то, что нужно чинить. :)

~~suser~~
(06.06.06 00:13:33 MSK) автор топика

Ответ на: комментарий от suser 06.06.06 00:13:33 MSK

> Я пытаюсь найти то, что нужно чинить. :)

Метод я описал. grep и смотрите на то, как у вас получаются передаваемые параметры.

nblx
(06.06.06 00:29:21 MSK)

Ответ на: комментарий от nblx 06.06.06 00:29:21 MSK

В чужом коде копаться руками не охота, а кто писал не будет этого делать из-за лени. :)

~~suser~~
(06.06.06 12:04:04 MSK) автор топика

Ответ на: комментарий от suser 06.06.06 12:04:04 MSK

> В чужом коде копаться руками не охота

Значит вы никогда не будете уверенны что в коде всё ОК. Никакая программа никогда не сможет угадать насколько сильно затупил PHP-кодер в конкретном месте.

Как вариант для личного успокоения - сделайте единую обработку принимаемых переменных на тему соответствия ожидаемому. Срезайте HTML-тэги в принимаемом (если нельзя все - только опасные). Режте непечатные символы, нечётное количество кавычек, точки со слешами и т.п.

Только без ручного анализа кода всеравно нельзя будет сказать что это безопасно. :-)

nblx
(06.06.06 16:53:05 MSK)

Ссылка

Ответ на: комментарий от suser 06.06.06 00:13:33 MSK

Если уже действительно нужно что-то чинить, то сначала нужно смотреть всякие access/cache_access logs :)

Valmont ★★★
(08.06.06 01:26:27 MSK)

Ссылка

Ответ на: комментарий от suser 05.06.06 23:40:59 MSK

xspider умеет точно.

SteepZ ★
(14.06.06 14:56:29 MSK)

Ссылка

Ответ на: комментарий от nblx 05.06.06 22:30:39 MSK

>/dev/hands - бесплатно, но нужно уметь пользоватся.

Без нормальной поддержки /dev/brain, /dev/hands только вредит =)

ManJak ★★★★★
(11.07.06 12:25:55 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← Как сделать автозапуск ssh-agent (NetBSD & zsh)

Security

ssh тунелинг →

Похожие темы