Правильно протестить свой сайт демкой Xspider7

Антон Дюжев

Guest

Это нравится:0 Да/0 Нет

21.01.2006 18:39:26

Хочу протестить сайт на уязвимые скрипты демкой Xspider7.
Сайт на виртукальном хостинге, поэтому хочется сделать аккуратно и корректно, не сканируя самого хостера

Я понимаю, что есть профиль для веб-приложений, но мне неясны некоторые настройки, а в мануале они не расписаны.
Например - почему отключено "Искать уязвимости в CGI скриптах" ?
Что значит "Маскировать от IDS" ? Что такое IDS я знаю, но как его он будет пытатся обойти и не потревожит ли это хостера ?

Не превратится ли мой форум и госевуха на сайте в помойку после такого сканирования ?

В общем не помешает необльшой HOW-TO так сказать.

Александр Антипов

Administrator

Сообщений: 3843 Баллов: 3870 Регистрация: 10.12.2001

Это нравится:0 Да/0 Нет

21.01.2006 18:50:10

Маскировать - использовать некоторые методы (не раскрываются) обхода IDS. Например URL кодирование и т.п.

Поиск в CGI cкриптах - искать известных уязвимости в CGI скриптах. Если все скрипты доступны по ссылкам можно безболезнено отключать эту опцию.

В помойку не превратится.

Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.

genarover

Guest

Это нравится:0 Да/0 Нет

21.01.2006 20:38:25

Цитата
Александр Антипов пишет: Маскировать - использовать некоторые методы (не раскрываются) обхода IDS. Например URL кодирование и т.п.

Вот это некоторые методы!!! очень интересно сказано! на самом деле все GET запросы на сервер перекодироваются в юников, по мнению спецов из Xspider, это скрывает от IDS, да согласен года 3 назад такие вещи как Snort, атак не видели! Но это уже давно прошло!
P.S. собственные исследования

not null

Guest

Это нравится:0 Да/0 Нет

21.01.2006 20:43:28

Может и превратиться...
в свое время пришлось долго вычищать запросы в стиле ../../../etc/password из некоторых мест сайта(правда, там был разрешен неавторизированный постинг. Где писать могли только авторизированные - все чисто).
Да и кроме демка может лишь указать на уязвимости, но никак не сказать, где конкретно уязвимость.

Антон Дюжев

Guest

Это нравится:0 Да/0 Нет

21.01.2006 20:49:00

Цитата
not null пишет: Да и кроме демка может лишь указать на уязвимости, но никак не сказать, где конкретно уязвимость.

А еще чего нибудь для сканирования скриптов сайта есть (не менее достойное чем XSpider) ?

logos Guest	#6 Это нравится:0 Да/0 Нет 22.01.2006 10:34:14 Лицензированный XSpider.

patri0t

Guest

Это нравится:0 Да/0 Нет

22.01.2006 15:17:02

Цитата
not null пишет: Да и кроме демка может лишь указать на уязвимости, но никак не сказать, где конкретно уязвимость.

это точно, так что кидай ссылку сюда. все равно лиценз. версию покупать не будешь 8)

not null

Guest

Это нравится:0 Да/0 Нет

22.01.2006 20:05:15

Цитата
logos пишет: Лицензированный XSpider.

Цитата
patri0t пишет: это точно, так что кидай ссылку сюда. все равно лиценз. версию покупать не будешь

простите, вы о чем? Где скачать демо-версию хпидера? Гыг :funny:
http://www.ptsecurity.ru/xs7download.asp

Little_Evil Guest	#9 Это нравится:0 Да/0 Нет 22.01.2006 20:32:17 Можешь попробовать Burp spider - довольно неплохая вещь. Скачать можешь отсюда http://www.portswigger.net/spider/

Антон Дюжев

Guest

#10

Это нравится:0 Да/0 Нет

23.01.2006 17:30:47

Цитата
Little_Evil пишет: Можешь попробовать Burp spider - довольно неплохая вещь. Скачать можешь отсюда http://www.portswigger.net/spider/

Спасибо.

Ну а как насчет Retina , LanGuard , SSS ?

Что из ник для тестинга скриптов более подходит ?

Александр Антипов

Administrator

Сообщений: 3843 Баллов: 3870 Регистрация: 10.12.2001

#11

Это нравится:0 Да/0 Нет

23.01.2006 17:32:08

Цитата
Антон Дюжев пишет: Ну а как насчет Retina , LanGuard , SSS ? Что из ник для тестинга скриптов более подходит ?

Не подходит

offtopic гранд мастер Сообщений: 1721 Баллов: 1738 Регистрация: 21.08.2003	#12 Это нравится:0 Да/0 Нет 23.01.2006 17:38:28 Коммерческие: WebInspect AppDetective WatchFire Appscan Acunetix.

Dragon_X

Guest

#13

Это нравится:0 Да/0 Нет

24.01.2006 13:17:56

Цитата
Александр Антипов пишет: Поиск в CGI cкриптах - искать известных уязвимости в CGI скриптах. Если все скрипты доступны по ссылкам можно безболезнено отключать эту опцию. В помойку не превратится.

С премодерируемыми комментариями - превращается...... Внешне - всё чисто, а стоит только посмотреть число и содержание коментариев, оставленных за время проверки...

[ANTI]b0dy Guest	#14 Это нравится:0 Да/0 Нет 28.01.2006 10:47:50 Антон Дюжев, Если тестить только веб-приложения,то юзай Acunetix Wev Vulnerablility Scanner(www.acunetix.com). karina, Это с разрешения администрации?

patri0t

Guest

#15

Это нравится:0 Да/0 Нет

03.02.2006 02:16:11

Цитата
not null пишет: простите, вы о чем? Где скачать демо-версию хпидера? Гыг

я про то что можно руками потестить на баги

Das Gluckenspitz Guest	#16 Это нравится:0 Да/0 Нет 09.02.2006 04:14:27 Можно ли настроить Xspider для работы через проксик У нас сеть из 10 компов на одном стоит ADSL инет организован через WinProxy xspider не сканит ни чего дальше локалки (показывает токо один внешний ИП, хотя во внешнем сегменте их около 10)

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?