Toon posts:

Tools die testen op XSS en Sql-injecties

Pagina: 1
Acties:

Onderwerpen

Xss

dinsdag 14 oktober 2008 17:07

Acties:
  • 0 Henk 'm!
  • Maghiel
  • Registratie: Maart 2004
  • Laatst online: 13-09 14:01

Maghiel

Topicstarter
De nieuwste website die ik gemaakt heb wil ik even flink goed testen.
Nou is het probleem natuurlijk dat als je zelf iets gemaakt hebt, je de fouten ook niet ziet.
Dus ik wil er een tool op los laten(ook kan een mens het een stuk beter natuurlijk).

Ik heb deze gevonden:http://www.acunetix.com/, ziet er best ok uit.
Kost wel 1000 euro voor 1 website, maar dat is de investering wel waard.

Nou ben ik benieuwd, hebben sommigen hier ervaring met dit soort tools?

dinsdag 14 oktober 2008 17:10

Acties:
  • 0 Henk 'm!
  • .oisyn
  • Registratie: September 2000
  • Laatst online: 01:28

.oisyn

Moderator Devschuur®

Demotivational Speaker

Waar hoort mijn topic?
-> Development Tools & Environments

Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.

dinsdag 14 oktober 2008 17:10

Acties:
  • 0 Henk 'm!
  • Flard
  • Registratie: Februari 2001
  • Laatst online: 12-09 16:16

Flard

Ik heb wel eens vaker een website onder die acunetix WVS gehouden en die was in mijn geval erg goed, heel wat gaten gevonden.
Hij gaat alle pagina's op je website af, en probeert vervolgens een aantal bekende vulnerabilities uit op je forms.

Als je het geld ervoor over hebt, dan is hij zeker de moeite waard.

Het is ook de enige tool die ik wat dat betreft ken, die ook zo diep gaat.

dinsdag 14 oktober 2008 17:15

Acties:
  • 0 Henk 'm!
  • NMe
  • Registratie: Februari 2004
  • Laatst online: 09-09 13:58

NMe

Quia Ego Sic Dico.

.oisyn schreef op dinsdag 14 oktober 2008 @ 17:10:
Waar hoort mijn topic?
-> Development Tools & Environments
Wat hij zegt. :P

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

dinsdag 14 oktober 2008 17:35

Acties:
  • 0 Henk 'm!
  • Maghiel
  • Registratie: Maart 2004
  • Laatst online: 13-09 14:01

Maghiel

Topicstarter
Flard schreef op dinsdag 14 oktober 2008 @ 17:10:
Ik heb wel eens vaker een website onder die acunetix WVS gehouden en die was in mijn geval erg goed, heel wat gaten gevonden.
Hij gaat alle pagina's op je website af, en probeert vervolgens een aantal bekende vulnerabilities uit op je forms.

Als je het geld ervoor over hebt, dan is hij zeker de moeite waard.

Het is ook de enige tool die ik wat dat betreft ken, die ook zo diep gaat.
Dank je voor de reactie, klinkt goed!
.oisyn schreef op dinsdag 14 oktober 2008 @ 17:10:
Waar hoort mijn topic?
-> Development Tools & Environments
-NMe- schreef op dinsdag 14 oktober 2008 @ 17:15:
[...]

Wat hij zegt. :P
Excuses, ik vond het niet helemaal een development tool, vond deze topic eigenlijk nergens echt inpassen, maar weer wat geleerd ;)

dinsdag 14 oktober 2008 19:13

Acties:
  • 0 Henk 'm!
  • Maghiel
  • Registratie: Maart 2004
  • Laatst online: 13-09 14:01

Maghiel

Topicstarter
Ik heb hem maar gekocht, of nou ja, m'n baas dan :p

Denk dat ie wel even zoet is met scannen, zal morgen m'n bevindingen posten!

dinsdag 14 oktober 2008 21:11

Acties:
  • 0 Henk 'm!

Verwijderd

Een ander alternatief is misschien nog http://www.fortify.com.

Mijn ervaring hiermee is dat het erg grondig is waardoor het in eerste instantie vrij veel false positives oplevert. Gelukkig is het redelijk makkelijk om de analyses aan te passen waardoor er best een goed resultaat uit kan komen.

dinsdag 14 oktober 2008 21:14

Acties:
  • 0 Henk 'm!
  • temp00
  • Registratie: Januari 2007
  • Niet online

temp00

Als het kan ben ik lam

http://www.nessus.org/nessus/
http://www.metasploit.com/

♠ REPLY CODE ALPHA ♠ 9800X3D, 32GB @ 6000, 980 Pro 2TB, RTX 5070Ti, MPG271QRX OLED @ 360HZ ♠ Overwatch

dinsdag 14 oktober 2008 21:26

Acties:
  • 0 Henk 'm!
  • RobIII
  • Registratie: December 2001
  • Niet online

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

(overleden)
temp00 schreef op dinsdag 14 oktober 2008 @ 21:14:
http://www.nessus.org/nessus/
http://www.metasploit.com/
Een klein beetje onderbouwing zou ook fijn zijn; anders wordt het zo'n spam-topic ;) Daarbij lijken beide me meer network security en dus niet voor XSS en SQL injection.

[ Voor 16% gewijzigd door RobIII op 14-10-2008 21:28 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

dinsdag 14 oktober 2008 21:39

Acties:
  • 0 Henk 'm!
  • temp00
  • Registratie: Januari 2007
  • Niet online

temp00

Als het kan ben ik lam

Ok meer onderbouwing. Waarom alleen testen op XSS en SQL? Ik zou als ik jou was een iso als Backtrack3 of Knoppix STD downloaden waar genoemde tooltjes (en veel meer) in zitten. Kan je zelf een vrij grondige audit uitvoeren en nog gratis ook. Je moet wel een beetje weten waar je mee bezig bent, maar voor menig Tweakert moet dat geen probleem zijn lijkt me. Hier ook overigens niet schrikken van de vele false positives, fouten enz.

@Rob:
Nessus en Metasploit testen wel degelijk op XSS en SQL injection. Nessus iig. Hier bijv. een quote uit een oud HTML-rapportje van een Nessus test audit die ik lang geleden met een oude versie onder Linux heb gedaan. Ik neem aan dat soort dingen nog steeds in de wat recentere versies van Nessus zitten.
Warning found on port www (80/tcp)

The remote web server seems to be vulnerable to the Cross Site Scripting vulnerability (XSS). The vulnerability is caused
by the result returned to the user when a non-existing file is requested (e.g. the result contains the JavaScript provided
in the request).
The vulnerability would allow an attacker to make the server present the user with the attacker's JavaScript/HTML code.
Since the content is presented by the server, the user will give it the trust
level of the server (for example, the trust level of banks, shopping centers, etc. would usually be high).

Risk factor : Medium

Solutions:

Allaire/Macromedia Jrun:
http://www.macromedia.com/software/jrun/download/update/
http://www.securiteam.com...curity_vulnerability.html
Microsoft IIS:
http://www.securiteam.com...ty__Patch_available_.html
Apache:
http://httpd.apache.org/info/css-security/
ColdFusion:
http://www.macromedia.com/v1/handlers/index.cfm?ID=23047
General:
http://www.securiteam.com...y_generated_web_site.html
http://www.cert.org/advisories/CA-2000-02.html

Nessus ID : 10815

♠ REPLY CODE ALPHA ♠ 9800X3D, 32GB @ 6000, 980 Pro 2TB, RTX 5070Ti, MPG271QRX OLED @ 360HZ ♠ Overwatch

woensdag 15 oktober 2008 14:16

Acties:
  • 0 Henk 'm!
  • Maghiel
  • Registratie: Maart 2004
  • Laatst online: 13-09 14:01

Maghiel

Topicstarter
Dank voor de antwoorden, helaas had ik hem dus al gekocht ;)

Programma bevalt me goed, geeft heel veel false positives op bijvoorbeeld achtergebleven backup bestanden, maar dat komt meer omdat ik geen foutpagina geef bij een niet bestaande pagina, maar gewoon de homepage laat zien. Deze false-positives kun je dan weer configureren zodat hij er later niet meer om zeurt.

In 1 formulier heeft ie wat XSS gaten gevonden, was een oud formuliertje, voor de rest eigenlijk niets, dus heb mezelf een schouderklopje gegeven.

Hij zoekt echt op een hele berg dingen, bijvoorbeeld ook op exploits in je PHP of Apache versie. Alles noemen gaat hier een beetje te ver.

Je kan ook dingen als inloggen opnemen, zodat hij zelf kan inloggen en ook op afgeschermde pagina's kan kijken. En dan aangeven wat de uitlog url is zodat hij zichzelf niet perongeluk uitlogd.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq