Tool um Websiten auf Lücken zu prüfen.

[enkore]

Bis jetzt habe ich ja immer dieses hier von Keksa benutzt. Aber ich habs jetzt nicht mehr auf der Platte, und Keksa musste es wohl löschen.

Jetzt frage ich euch:
Gibt es ein vergleichbares Programm, dass am besten auch auf SQL-Injections, XSS usw. prüft. (Das Keksatool prüfte ja nur auf SQL, aber das hat mich nie weiter gestört).
Meinetwegen auch irgendwas wegen Rechts auf localhost limitiertes...

/edit:
Nikto habe ich auch schon gefunden, läuft aber wegen Perl nicht. Und Perl kommt mir nicht auf die Platte.

 

[bitmuncher]

Skipfish - http://code.google.com/p/skipfish/ - könnte evtl. eine Alternative sein.

Wie man allerdings ohne Perl leben kann ist mir rätselhaft.

 

[enkore]

Unter Windows ist das kein Problem ... meistens

Skipfish ist notiert, allerdings muss ich mal schauen wo ich mein C gelassen habe. Das dürfte irgendwo auf irgendeiner DVD rumgammeln

 

[p0ven]

Bis jetzt habe ich ja immer dieses hier von Keksa benutzt. Aber ich habs jetzt nicht mehr auf der Platte, und Keksa musste es wohl löschen.

Schreib den Autor doch mal an. Vielleicht stellt er dir kurzzeitig nen Download zur Verfügung.

Ansonsten - wie bereits genannt - skipfish. Da kriegst du auch einen schönen .html Report. Eignet sich also auch z.B. für Kundenaufträge, da es alles grafisch darstellt und man kann den Report nachträglich noch nach seinen Bedürfnissen "umgestallten".

Ansonsten, wenns etwas umfangreicher und komplexer sein darf, mit Nessus[1] lassen sich ebenfalls Webapplikationen prüfen[2].

f.

[1] http://www.nessus.org/nessus/
[2] http://www.nessus.org/whitepapers/Tenable_Web_App_Scanning.pdf (Google Ergebniss, nur überflogen...)

 

[rami]

Websecurify hab ich noch positiv in Erinnerung.

Für Firefox gibt es einige Add-Ons (hab nur paar davon mal getestet):

https://addons.mozilla.org/de/firefox/addon/7598/
https://addons.mozilla.org/de/firefox/addon/6727/
https://addons.mozilla.org/de/firefox/addon/7597/
https://addons.mozilla.org/de/firefox/addon/161722/

 

[dishix]

Hallo,

fuer sowas verwende ich wget und nikto ( http://cirt.net/nikto2 ) um mir einen ersten Ueberblick zu verschaffen. Anschliessend Handarbeit. Ausserdem sind ein paar FirefoxAddons (WebDeveloperToolbar, TamperData sind die 'wertvollsten') installiert.
Ich habe auch schon ein paar andere Tools angefasst, aber die Erfahrung gemacht, dass ich bei so etwas mit Handarbeit am weitesten komme.

Liebe Gruesse
dishix

<edit>ohne Perl wird's natuerlich nicht leicht</edit>

 

[enkore]

rami's Tipp war genau das, was ich gesucht habe. Einfaches, schlankes Tool. 8)