有什么好用的web漏洞源代码审计攻击,静态检测的,比如检测SQL注入的,开源的工具
0 views
Skip to first unread message
guan hou
Mar 3, 2009, 7:07:10 AM3/3/09
to ph4...@googlegroups.com
高人指点下!
有什么好用的web漏洞源代码审计攻击,静态检测的,比如检测SQL注入的,开源的工具
孙融(Robert Sun)
Mar 3, 2009, 8:00:08 AM3/3/09
to ph4...@googlegroups.com
Fortify SCA
Prevent
还可以参照 http://hi.baidu.com/hi_heige/blog/item/2ac6ab003fea1105738da5a3.html
黑哥的BLOG,这篇文章主要以PHP为主
有问题可以随时咨询
--
Prevent
还可以参照 http://hi.baidu.com/hi_heige/blog/item/2ac6ab003fea1105738da5a3.html
黑哥的BLOG,这篇文章主要以PHP为主
有问题可以随时咨询
--
IEhrepus
Mar 3, 2009, 9:55:09 PM3/3/09
to ph4...@googlegroups.com
现有的工具所做的很有限啊,大家可以用老点dz版本 比如dz6 用那些商业的 或者免费的 著名的审计工具跑一下
然后和http://www.80vul.com/dzvul/ 这里对比下 看工具可以跑出多少个.
我测试过几个工具,好象有只有一款跑出了一个xss的 :)
2009/3/3 孙融(Robert Sun) <hac...@gmail.com>
aking
Mar 3, 2009, 10:08:24 PM3/3/09
to ph4...@googlegroups.com
不知道这些东东实际效果怎么样?
--
I am aking
--
I am aking
孙融(Robert Sun)
Mar 4, 2009, 1:28:47 AM3/4/09
to ph4...@googlegroups.com
相当不错
Fortify和Prevent都能卖到上百万
其实这方面可以看一下TEAM509写的一篇BLOG
http://www.team509.com/modules.php?name=News&file=article&sid=66
拾人牙慧:)
--
[[Call Me]]
Mobile[BJ]: 13911466441
Mobile[SH]: 13636450220
Fortify和Prevent都能卖到上百万
其实这方面可以看一下TEAM509写的一篇BLOG
http://www.team509.com/modules.php?name=News&file=article&sid=66
拾人牙慧:)
2009/3/4 aking <kang...@gmail.com>
不知道这些东东实际效果怎么样?
--
I am aking
--
[[Call Me]]
Mobile[BJ]: 13911466441
Mobile[SH]: 13636450220
aking
Mar 4, 2009, 2:05:46 AM3/4/09
to ph4...@googlegroups.com
Xti9er
Mar 4, 2009, 10:09:08 AM3/4/09
to Ph4nt0m
开源的?墨非想 “引用”一下来做产品?
我说话是不是太直了?
我说话是不是太直了?
xy7
Mar 4, 2009, 9:41:14 PM3/4/09
to ph4...@googlegroups.com
不知道你这相当不错的结论是不是亲自测试过得出的……
检测报告和最终报告之间还是要经过一套繁琐人工排查,现在的工具也都只是辅助而已
检测报告和最终报告之间还是要经过一套繁琐人工排查,现在的工具也都只是辅助而已
2009/3/4 孙融(Robert Sun) <hac...@gmail.com>
raystyle
Mar 4, 2009, 11:48:19 PM3/4/09
to ph4...@googlegroups.com
用工具可以自动化扫代码 扫出来也仅仅是默认漏洞而已
灰盒才是王道,我碰到过的最实际的安全测试,程序员给程序做了一个脚本的调试接口参数,我能知道数据进入程序的任何一个环节和流程的具体状态。
2009/3/5 xy7 <xuan...@gmail.com>
qq19...@gmail.com
Mar 5, 2009, 12:00:05 AM3/5/09
to ph4...@googlegroups.com
XY7 說得不錯。。。。。還是人肉吧。。。。工具面對參次不齊的代碼想通用審核。。。。。。。
歎
-_-~!
--------------------------------------------------
From: "xy7" <xuan...@gmail.com>
Sent: Thursday, March 05, 2009 10:41 AM
To: <ph4...@googlegroups.com>
Subject: [Ph4nt0m] Re: 有什么好用的web漏洞源代码审计攻击,静态检测的,比如检测SQL注入的,开源的工具
__________ Information from ESET Smart Security, version of virus signature database 3909 (20090304) __________
The message was checked by ESET Smart Security.
孙融(Robert Sun)
Mar 5, 2009, 12:57:11 AM3/5/09
to ph4...@googlegroups.com
怎么说呢
这两套产品是目前上商业化中最好的产品之一,说最好的两套也不为过,FORTIFY的报表不错,误报多了些
我的代码审计平台上就用了这两款产品,针对公司自主的产品做代码审计。
代码审计属于白盒测试方面,如果仅仅讲深层次的东西,那工具只能是辅助。很多时候,中小型企业,尤其是创业型公司没有足够的人力,财力,精力来做代码审计,需要找外部的帮助。譬如辅助工具,譬如第三方公司。
不能完全依赖辅助工具,不过在敏捷开发过程中,这是一个很有价值的工具。
代码审计,产生报告,交付给研发,自己留档,每一段时间做报表向各个层面反映。
工具方面,我相信大家都用过漏洞扫描工具,自己感觉一下。
这两套产品是目前上商业化中最好的产品之一,说最好的两套也不为过,FORTIFY的报表不错,误报多了些
我的代码审计平台上就用了这两款产品,针对公司自主的产品做代码审计。
代码审计属于白盒测试方面,如果仅仅讲深层次的东西,那工具只能是辅助。很多时候,中小型企业,尤其是创业型公司没有足够的人力,财力,精力来做代码审计,需要找外部的帮助。譬如辅助工具,譬如第三方公司。
不能完全依赖辅助工具,不过在敏捷开发过程中,这是一个很有价值的工具。
代码审计,产生报告,交付给研发,自己留档,每一段时间做报表向各个层面反映。
工具方面,我相信大家都用过漏洞扫描工具,自己感觉一下。
2009/3/5 xy7 <xuan...@gmail.com>
Reply all
Reply to author
Forward
0 new messages