Security Scanner für Webentwicklung

1. OWASP Zed Attack Proxy Project

https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project

Überblick

• Java-basiert, eigene GUI. Intro-Tutorial-Videos,  User Guide.
• Kann in Firefox als Proxy eingerichtet werden, aber auch "aktiv" scannen.
• Etwas unübersichtlich.Unterscheidet zwischen Spider, BruteForce, PortScan, Fuzzer, Aktiver Scan. Was "Aktiver Scan" eigentlich macht, ist nicht ganz klar.
• Gefundene URLs können gezielt "gefuzzt" werden, d.h. spezifische Attacks ausgeübt werden.
• Besonders die Tatsache, daß gemäß der Getting-Started-Tipps (s.UserGuide) erst die Spider und dann der Active Scan laufen muß, macht es etwas unhandlich. Andere Scanner laufen gleich los.

2. Skipfish web application security scanner

http://code.google.com/p/skipfish/wiki/SkipfishDoc

• komplexeste Installation auf nicht-Linux Systemen (auf Win:Cygwin nötig); auf OS X nicht leicht zum Laufen zu bringen.
• am einfachsten in Ubuntu: sudo apt-get install , allerdings nicht neueste Version im Repository.
• Kein sehr durchsichtiger Output. Etwas knappe Erläuterungen im Wiki. 

Vor Beginn des Scans muß in der alten Version (2.0b) erst ein Dictionary kopiert werden, das dann erweitert wird (um neu gefunden Keywords). In der aktuellen Version gibt es dazu die Option -S sourceDict.wl die das Quelldictionary angibt, das dann mit der Option -W newdict.wl zur Laufzeit erweitert wird. newdict.wl sollte allerdings als leere Datei ebenfalls erst angelegt werden.

Start ist dann relativ simpel:

$ touch new_dict.wl

$ ./skipfish -MEU -S dictionaries/minimal.wl -W new_dict.wl \

  -C "AuthCookie=value" -X /logout.aspx -o output_dir \

   http://www.example.com/

 

3. Arachni

http://arachni-scanner.com/latest

• Sehr gute und ausführliche Doku: 
• http://arachni-scanner.com/wiki/Command-line-user-interface
• Bietet als einziger Scanner eigenen Server und Webinterface, das simpel gestartet werden kann:

cd arachni-0.4.1.1/bin/
./arachni_web_autostart

"This will setup a Dispatcher and fire-up the WebUI server for you.Then, point your browser to http://localhost:4567, accept the default settings and start the scan. For more info see the WebUI reference."

Beim Start wird sogar angezeigt, wie der Server erreichbar ist.

Das Webinterface ist gut gestaltet und ein Scan leicht zu starten. Empfehlenswert ist, erst in den Settings eine maximale Tiefer der URLs und deren maximale Anzahl festzulegen. Insbesondere Links auf Kalenderseiten werden sonst endlos weiterverfolgt (Default: infinite).

Arachni kann aber auch über die Konsole gestartet werden (unter Windoof z.B. aus einer Ubuntu-Server-VM).

Auch auf der Konsole kann der Report dann in einen HTML-Report konvertiert werden.

Testaufrufe:

arachni http://test.com --report=afr:outfile=test.com.afr --depth 5 --link-count 500

arachni --audit-forms --modules=xss http://192.168.32.53/ezflow/ --link-count=5 --report=afr:outfile=test.com.afr

The Arachni Framework Report (.afr) file can later be loaded by Arachni to create a report, like so:

$ arachni --repload=test.com.afr --report=html:outfile=my_report.html,skip_responses=true

or any other report type as shown by:

$ arachni --lsrep

Mittels ./arachni --lsmod kann man sich die Liste der Module ausgeben lassen. Gleichzeitig werden auch Urls angegeben unter denen man sich über die entsprechenden Gefährdungen, die das Modul untersucht, informieren kann.