xenon
@xenon
Too drunk to fsck

Какой автоматический сканер уязвимостей веб-приложений сейчас наиболее эффективный/популярный?

Всегда относился к ним с предубеждением (ничто не заменит настоящего хакера), но вот сейчас вопрос стал актуальным.

У меня на слуху:
- Burp Suite ( https://portswigger.net/burp/pro платный, есть фришная версия, но там ограничений много),
- ZAP ( https://www.zaproxy.org/ бесплатный)
- Metasploit ( https://www.metasploit.com/ есть и такая и такая версия, но сто лет назад, когда я смотрел, бесплатная мне показалась слишком неполноценной)

Что-то еще может быть смог бы вспомнить, но в любом случае - я не в этой теме и мог отстать от времени, может быть то что я знаю - 10 лет назад было актуально, а сейчас все пользуются чем-то другим.

Чем сейчас модно пользоваться для помощи в пентестах, для автоматического поиска уязвимостей (DAST)? (можно коммерческие решения).
  • Вопрос задан
  • 2200 просмотров
Решения вопроса 1
re-alter
@re-alter
// _ AppSec // Bug Bounty / Legal Hacking
Привет.

Burp Pro, особенно с некоторыми плагинами, даст неплохой результат. OWASP Zap можно подтянуть до аналогичного уровня, но он больше FP даёт в процессе работы. В перспективе аналогичной функциональностью может обзавестись Caido - потенциальный конкурент Burp Suite.

+ Acunetix, Intruder.

Сканеров-то много, но большая их часть уже давно отошла на задний план.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 2
У нас используется вот этот, автоматически в корпоративном гитлабе после сборки проверяет https://jeremylong.github.io/DependencyCheck/
Ответ написан
@vitaly_il1
DevOps Consulting
Насколько понимаю, Zap по-прежнему самый популярный из open-source.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы