PHP Security Scanner

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • PHP Security Scanner

    Weil ich hier jetzt eigentlich nichts zum Thema "Web Security" gefunden habe, hielt es doch für ganz wichtig und nicht schlecht wenn man ein paar User auf Security Scanner hinweist.

    Security Scanner überprüfen automatisiert Webanwendungen nach Sicherheitslücken und nennen die Einstiegspunkte wo z.B. die DB manipuliert bzw. ausgelesen werden kann.

    Weil man gerade bei PHP sehr anfällig für einige Sicherheitslücken ist (SQL Injection, XSS), besonders wenn man des öfteren Usereingaben wiedergibt oder DB-Verbindungen verwendet und vergessen hat diese richtig zu escapen, sollte man immer hinterher nochmal alle Parameter und Eingabewertmöglichkeiten für den User/Besucher überprüfen.
    Die Überprüfung der Scripte nach der nachfertigstellung sollte man grundsätzlich wahrnehmen, vorallem wenn man im kommerzielen Bereich arbeitet.

    Als Softwarevariante gäbe es den:
    Acunetix WVS, welches sogar ein kostenlose XSS Scanner anbietet (funktioniert auch ganz gut).
    Ratproxy - hab ich bisher noch nicht getestet, scannt leider auch nur nach XSS

    Online Scanner gäbe es auch welche:
    Gamasec bietet glaub ich einen kostenlosen scan an, deckt etwas mehr wie XSS ab.
    WebScanService kann auch kostenlos hergenommen werden. Das spektrum an Testmethoden / Überprüfungen ist zudem größer als bei den anderen.

    Die oben genannten Scanner sind kostenlos und sind aufjedenfall mal einen Blick wert.

    Eine vollständige Liste der verfügbaren (allerdings größtenteils kommerziellen) Scanner gibt es auf der WASC-Projektwebseite.
    Wer bereits Erfahrungen mit weiteren guten/schlechten Sicherheitsscannern gemacht hat, kann gerne beim vervollständigen der Liste helfen
    Ich arbeite selber für eine Web Security Firma, die auch den Scanner "WebScanService" vertreibt, da bin ich dann natürlich auch sehr über Kritik und Meinungen zu diesem Thema interessiert
    Zuletzt geändert von mcorrientes; 25.02.2010, 23:13. Grund: nachtrag :)

  • #2
    Hallo,

    Zitat von mcorrientes Beitrag anzeigen
    Ich arbeite selber für eine Web Security Firma und hoffe das mir dieser Post deshalb nicht übel genommen wird.
    ich glaub nicht. Da du keine Werbung in eigener Sache betreibst und dein Beitrag für viele User nützlich sein könnte, sehe ich keinen Grund dafür.

    Gruß,

    Amica
    [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
    Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
    Super, danke!
    [/COLOR]

    Kommentar


    • #3
      Zitat von AmicaNoctis Beitrag anzeigen
      Da du keine Werbung in eigener Sache betreibst
      Doch tut er. Und er weist auch nicht darauf hin. Wenn das nachgetragen wird, bin ich allerdings mit dem Posting aus den von dir genannten Gründen einverstanden.
      [FONT="Helvetica"]twitter.com/unset[/FONT]

      Shitstorm Podcast – Wöchentliches Auskotzen

      Kommentar


      • #4
        Zitat von unset Beitrag anzeigen
        Doch tut er.
        OK, aber wenigstens nicht exklusiv.
        [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
        Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
        Super, danke!
        [/COLOR]

        Kommentar


        • #5
          //edit

          Falsche Threat tut mir leid bitte löschen

          Kommentar

          Lädt...
          X