我们是否推荐用于Web应用程序安全性测试的任何工具？

我使用了OWASP的WebScarab，但是使用起来有点困难和笨拙。

我们还有其他建议使用的更好的方法吗？

解决方案

Fortify对我们来说做得很好。

http://www.fortify.com/

惠普有一个用于测试SQL注入的应用程序，名为Scrawlr。

cra草机

我建议将手动检查与简单的字符串搜索工具(如findstr)一起使用。
这是asp.net的大量手动安全检查资源：
http://msdn.microsoft.com/en-us/library/ms998364.aspx
或者，我们可以直接跳到指导我们查找安全漏洞的安全问题：
http://msdn.microsoft.com/en-us/library/ms998375.aspx
我在这里总结了字符串搜索技术：
http://blogs.msdn.com/ace_team/archive/2008/07/24/security-code-review-string-search-patterns-for-finding-vulnerabilities-in-asp-net-web-application.aspx

代替WebScarab，尝试Fiddler代理(http://www.fiddlertool.com)。舒适得多。

除此之外，"安全测试"是一个非常广泛的术语。
至少，我们具有：

• 渗透测试-我使用Appscan，还有很多其他功能。
• 源代码审查/静态分析-Fortify被认为是最好的之一，我爱上了Checkmarx(但需要安全人员)...有关特定技术/语言的更多信息将为我们提供更有针对性的答案。
• 还有其他类型的"安全测试"，但是我不熟悉用于这些类型的其他自动工具。
• 根据最后一点，以及对前两种类型(PT / CR)进行更高级的测试，由专家进行的手动测试确实是最好的(如果不是最具成本效益的话)。

我为一家从事Web应用程序渗透测试的公司工作。我们使用许多不同的工具。在Ruby中，某些工具是针对特定项目的一种工具，或者是内部开发的框架或者代理(还是Ruby)的一种工具。我们的大多数Web应用程序渗透测试都是使用webscarab，burpsuite或者paros代理完成的。它们都具有某种日志记录功能，强大的功能以及一两个缺点。

我实际上发现webscarab是最容易使用的。但是，它不处理VIEWSTATE或者在搜索方面做很多事情。实际上，我们在VIEWSTATE中发现了不应该存在的数据，因此，每当看到它们时，我们都倾向于切换到其他代理。 Burpsuite是我的下一个选择。它确实处理了VIEWSTATE，但是该接口需要大量的时间来适应它，并且它的输出在技术上更完整，因此它使原始和修改后的请求/响应难以使用。

不幸的是，对问题的答案要比仅是一个好的代理要复杂得多。不仅仅是拿起代理或者扫描仪并让它们运行，它还具有更多功能。一个人必须验证该工具找到的任何内容，并且没有任何东西可以找到。

tqbf在这里对此有很好的解释。

我使用Nikto。

Nikto是一个开放源代码(GPL)Web服务器扫描程序，它针对多个项目对Web服务器执行全面的测试，包括3500多个潜在危险的文件/ CGI，900多个服务器上的版本以及250多个服务器上的特定于版本的问题。扫描项目和插件会经常更新，并且可以自动更新(如果需要)。
Nikto并非设计为过于隐秘的工具。它将在最短的时间范围内测试Web服务器，并且在日志文件中相当明显。但是，如果我们想尝试一下(或者测试IDS系统)，则支持LibWhisker的anti-IDS方法。

此列表也可能会有所帮助：十大Web漏洞扫描程序

这些都是用于笔测试的Web应用程序

• curl-探索命令行工具
• nikto / wikto-外阴扫描仪
• w3af-听说过伟大的事情并没有尝试太多
• sqlmap-自动SQL注入
• WebDeveloper和Firebug-firefox扩展
• 斜纹布和硒与我们自己的测试用例http://ha.ckers.org/xss.html