инструменты профилирования безопасности html

Question

Я занимаюсь разработкой сайта и использую yslow для профилирования скорости и статистики, веб-разработчика для проверки HTML и CSS и т. Д.

Что я могу использовать для проверки ошибок безопасности?

Answer 1

В целях безопасности я рекомендую wapiti с открытым исходным кодом или рекламный ролик Sitewatch .

Кстати, html и css не могут вызвать проблемы с безопасностью. Возможно, если у вас есть html-ссылки, указывающие на http-контент в https, это может быть проблемой, и Sitewatch сообщит вам об этих проблемах.

Answer 2

Отзыв этот список .

Очевидно, что важен ваш серверный язык (так что вы можете отсканировать со стороны WEB, а затем проанализировать код сервера).

Это значительная область работы и исследований. Хорошо, что вы хотите выполнить этот тип анализа и наслаждаться просмотром и тестированием всех доступных инструментов:)

Answer 3

Вы можете использовать бесплатные инструменты, такие как Netsparker Community Edition или Skipfish

Вы также можете обратиться к этому списку бесплатных и коммерческих сканеров безопасности веб-приложений: http://projects.webappsec.org/w/page/13246988/Web-Application-Security-Scanner-List

Answer 4

Я предполагаю, что вы знакомы с OWASP Top 10 (http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project).. Вы можете попробовать крысиный прокси (http://code.google.com/p/ratproxy/) - это инструмент аудита безопасности. в какой-то степени обнаруживают дефекты инъекций и XSS.

Ничто из этого не является идеальным, поэтому, хорошо понимая уязвимости веб-приложений, вы можете дополнить некоторые ручные тесты и проверку кода.

Answer 5

В зависимости от размера вашего сайта вы можете использовать инструмент под названием Fortify . Он будет сканировать ваш код на наличие уязвимостей безопасности. Я уверен, что есть другие инструменты, которые похожи.