Софтуери за Penetration Testing, SEO и други анализатори

dakata__92

Super Moderator
Колеги, какви програми използвате за да сканирате приложенията си? Търся мнения за качествени продукти, които наистина правят стабилни проверки.
Netsparker и Burp са всеизвестни.
 

Revelation

Super Moderator
Ние на работа плащаме в https://www.cobalt.io/ и последния пентест ни го правиха двама души ръчно в продължение на 2 седмици. Намериха доста интересни неща.

Вероятно не търсиш такъв тип решение, но не пречи да споделя моя опит.
 

Ticketa

Registered
Усещам,, че Cyber security както и програмистките професии скоро ще се превърнат като майсторите в Бг. Всеки от всичко да му разбира.

Купува бормашина и вече и от това разбира хах..
 

Blinky

Administrator
Екип
Усещам,, че Cyber security както и програмистките професии скоро ще се превърнат като майсторите в Бг. Всеки от всичко да му разбира.

Купува бормашина и вече и от това разбира хах..
Има нещо такова. С подходящите тулове и малко четене, лесно се става и Social & SEO експерт. :) НО няма лошо, нека има повече автоматизации.
 

Ticketa

Registered
Има нещо такова. С подходящите тулове и малко четене, лесно се става и Social & SEO експерт. :) НО няма лошо, нека има повече автоматизации.
То... аз бачкам с фотошоп над 10г, обаче... не ми се получават нещата. Трябва сърце.
 

Blinky

Administrator
Екип
То... аз бачкам с фотошоп над 10г, обаче... не ми се получават нещата. Трябва сърце.
Да, креативност и друг вид поглед. И аз правя някакви неща, но съм далеч от това да се нарека дизайнер. Абе все нещо мога да си сглобя. Може да не си натиснал много там. Сигурно с едно леко курсче може да минеш в другата лента. ;)
 

Revelation

Super Moderator
Да, креативност и друг вид поглед. И аз правя някакви неща, но съм далеч от това да се нарека дизайнер. Абе все нещо мога да си сглобя. Може да не си натиснал много там. Сигурно с едно леко курсче може да минеш в другата лента. ;)
Повечето хора нямат потенциала да усвоят определени умения независимо колко курса ще се минат. Всеки може да сглоби разни неща на фотошоп, но станат ли нещата по-сложни си се иска креативност.

Същото е с програмирането, сигурност и като цяло всяко нещо. Има си хора, които цял живот учат математика, но още не знаят приоритета на знаците като смятат, което си е основно нещо. 5 + 5 * 2 маса хора ще ти го сметнат 20, вместо 15.

Ако питаш някой, който професионално се занимава с Фотошоп и там му е силата ще ти каже същото за уебсайтчета - "Абе все нещо мога да си сглобя". С малко четене за HTML, CSS все ще стане нещо, но ще е далеч от истината, ако трябва да стигне до бакенда, където вероятно ще оака нещата.

Като цяло е хубаво да се насочиш към едно нещо и да станеш там експерт. Особено в софтуерната среда е много трудно да смогнеш с всичко и почти невъзможно да усвоиш толкова много информация. В повечето случаи просто мозъка ти ще отказва да запомни определени неща.

Много ми харесва една част от конференция за Ларавел, където Джефри Уей изброява неща, които като програмисти трябва да минем през тях:
 

dakata__92

Super Moderator
Аз по-скоро търся автоматизирана програма за проверка. Фирмата да си прави каквито иска тестове и да плаща на който пожелае. Реално аз искам да пусна едно/две скенерчета, които да ме улеснят и да ми покажат цялостната картина на проекта, за да се ориентирам по-бързо над какво да наблягам. Честно казано до момента от Nestparker и Burp съм доволен. Просто се чудя дали има и други подобни инструменти и колко от тях са безплатни.
 

Blinky

Administrator
Екип
Безплатните, или поне повечето безплатни (аз дори не знам такива, освен някакви фри трайли), или са орязали сериозни функции или имат много ограничения. Ако ще се взима и прави наистина добър анализ, платени. Не мога да се сетя за друго от писаното вече. Но ще се радвам да видя още предложения. ;)
 

Ticketa

Registered
Повечето хора нямат потенциала да усвоят определени умения независимо колко курса ще се минат. Всеки може да сглоби разни неща на фотошоп, но станат ли нещата по-сложни си се иска креативност.

Същото е с програмирането, сигурност и като цяло всяко нещо. Има си хора, които цял живот учат математика, но още не знаят приоритета на знаците като смятат, което си е основно нещо. 5 + 5 * 2 маса хора ще ти го сметнат 20, вместо 15.

Ако питаш някой, който професионално се занимава с Фотошоп и там му е силата ще ти каже същото за уебсайтчета - "Абе все нещо мога да си сглобя". С малко четене за HTML, CSS все ще стане нещо, но ще е далеч от истината, ако трябва да стигне до бакенда, където вероятно ще оака нещата.

Като цяло е хубаво да се насочиш към едно нещо и да станеш там експерт. Особено в софтуерната среда е много трудно да смогнеш с всичко и почти невъзможно да усвоиш толкова много информация. В повечето случаи просто мозъка ти ще отказва да запомни определени неща.

Много ми харесва една част от конференция за Ларавел, където Джефри Уей изброява неща, които като програмисти трябва да минем през тях:
Прекрасно ме разбра.

@dakata__92 в България като чуят оценка на сигурността и отговора: абе...немам нужда от това. Нема смисъл.

Обаче... хаха още помня поради грешките на държавно ниво как изтекоха над 4млн. данни (понеже като цяло на хората паметта е къса)
 
Последно редактирано:

dakata__92

Super Moderator
Прекрасно ме разбра.

@dakata__92 в България като чуят оценка на сигурността и отговора: абе...немам нужда от това. Нема смисъл.

Обаче... хаха още помня поради грешките на държавно ниво как изтекоха над 4млн. данни (понеже като цяло на хората паметта е къса)
Принципно на мен идеята ми е по-скоро, да си актуализирам малко помощните инструменти. Реално търся скенери, които да ми вадят наготово някакви справки и прочие. Просто ако ми постъпи нов проект искам бързо да се ориентирам за състоянието му. Впрочем и анализиращи съдържанието програми също биха ми свършили работа.
 

devcvetomir

Registered
Пх... Тулове много, най-добре да се ползват отделно. Освен ако нямаш някакъв wp, и не рънваш -wpscan да ти чекне разни теми/ плъгини.
За къстом неща на ръка е най-добре, защото предимно IDOR е проблемен, вече ако не си на някакъв framework, който да те пази от повечето други неща - ще видиш зор...

Безплатни тулове - Слагай кали tools и разгледай кое какво може да ти свърши работа. Не си на фреймуорк така ли?
Иначе безплатни тулове дето да ти вадят репорти и то хубави - няма, поне аз не съм срещал.

Бачкал съм известно време като пен тестър фултайм - имахме си CMS наш за репорти, и се попълваха нещата там, всичко си правехме с отделни тулове, като предимно се разчита на зорко око + Kali тулс, и някои благинки от гитхъб, които са по-специфични, не е важно.
Кажи за каква система става въпрос, и какво ще се тества и какъв вид тест - блек бокс, че не разбрах, или твои системи / проекти , дето участваш и знаеш кода?

пс: LFI/ RFI - се оправят лесно, XSS - валидация и полетата си оправяш на юзърите. Разни инжекции - mysql/ Mongod - SQLMAP е най-доброто и удобно. Но IDOR-а като цяло е най-често срещан при девс нещата и къстом заработките - неоторизиран достъп да се трият ресурси, достъп до разни пътища, до файлове, до разни конфиг файлове и т.н.. За разни хедъри и бъркотии там - burp ще ти свърши работа, но има и други тулчета, дори аддони за браузър са по-удобни, аз ползвам такъв.


Ако си с фрейм и разни плъгини js - WYSIWYG е обичайния заподозрян да може да направи поразии на места, заради CSRF exclude-a и забравянето да се оторизират пътищата с него - ъплоад на мизерии през него и т.н... Вече не ти знам кейза де :) , нахвърлих малко неща просто дето ми дойдаха наум.
 
Последно редактирано:

dakata__92

Super Moderator
Пх... Тулове много, най-добре да се ползват отделно. Освен ако нямаш някакъв wp, и не рънваш -wpscan да ти чекне разни теми/ плъгини.
За къстом неща на ръка е най-добре, защото предимно IDOR е проблемен, вече ако не си на някакъв framework, който да те пази от повечето други неща - ще видиш зор...

Безплатни тулове - Слагай кали tools и разгледай кое какво може да ти свърши работа. Не си на фреймуорк така ли?
Иначе безплатни тулове дето да ти вадят репорти и то хубави - няма, поне аз не съм срещал.

Бачкал съм известно време като пен тестър фултайм - имахме си CMS наш за репорти, и се попълваха нещата там, всичко си правехме с отделни тулове, като предимно се разчита на зорко око + Kali тулс, и някои благинки от гитхъб, които са по-специфични, не е важно.
Кажи за каква система става въпрос, и какво ще се тества и какъв вид тест - блек бокс, че не разбрах, или твои системи / проекти , дето участваш и знаеш кода?

пс: LFI/ RFI - се оправят лесно, XSS - валидация и полетата си оправяш на юзърите. Разни инжекции - mysql/ Mongod - SQLMAP е най-доброто и удобно. Но IDOR-а като цяло е най-често срещан при девс нещата и къстом заработките - неоторизиран достъп да се трият ресурси, достъп до разни пътища, до файлове, до разни конфиг файлове и т.н.. За разни хедъри и бъркотии там - burp ще ти свърши работа, но има и други тулчета, дори аддони за браузър са по-удобни, аз ползвам такъв.


Ако си с фрейм и разни плъгини js - WYSIWYG е обичайния заподозрян да може да направи поразии на места, заради CSRF exclude-a и забравянето да се оторизират пътищата с него - ъплоад на мизерии през него и т.н... Вече не ти знам кейза де :) , нахвърлих малко неща просто дето ми дойдаха наум.
Колега, търся начин да си улесня живота по различни проекти. SEO анализатори също ще ми свършат работа. Като ми постъпи проект, който трябва да оценя за мен си, какво време по отделни подточки ще му вложа, то ми трябват готови и бързи анализатори. Темата даже съм я озаглавил леко грешно. Търся си опорни точки за да си сформирам максимално бързо мнение за проекта. Кода е ясен, имам ли достъп до него ще си разгледам всичко в детайли. Понякога просто ни се дава хипер връзка от клиент и иска някакво мнение за моментното състояние на публичната му среда. Не че пак няма да се ровя, но си е удобно да пусна на заден фон да върви Netsparker или Burp. Просто си търся всякакви помощни инструменти, вадещи някакви доклади. SEO анализатори също попадат в тази графа.
 

Revelation

Super Moderator
В такъв случай задължително включи и статични анализатори, ако искаш да имаш цялостна картина над даден проект.
 

Blinky

Administrator
Екип
За SEO инструменти, има една класация:


В момента ползвам serpstat.com за някои сайтове и съм доста доволен. ;)
 

Горе