Estoy buscando una forma automatizada para difuminar mi aplicación o escanearla en busca de vulnerabilidades. Por favor, asuma que mi conocimiento de pirateo es 0. También la fuente está en mi servidor local, así que necesito una forma de filtrarla localmente sin depender de una conexión a Internet. ¿Pueden algunos expertos en seguridad darme algunos consejos o recomendaciones? No estoy seguro de qué opciones son mejores.¿Cómo puedo escanear/confundir mi código de vulnerabilidades?
Editar:
Gracias por el esfuerzo de responder, pero hasta ahora ninguno parece conseguir el punto. Me gustaría ser más específico (porque me ayuda con la pregunta) pero sin influir en las opiniones o sonar como si estuviera anunciando un producto específico. Estoy buscando algo como wapiti (disculpa mencionar nombres, pero tuve que hacerlo, porque las respuestas hasta ahora, como aprender sobre inyecciones sql, xss, etc. obviamente no son respuestas "expertas" reales a esta pregunta. Ya sé sobre esto () en serio, hace esta pregunta sonido como que podría preguntado por alguien que no conoce la sal por la seguridad?)
no estoy pidiendo si que debería probar, estoy pidiendo cómo que debería probar. I ya decidí incorporar la automatización (y no hay vuelta atrás en esta decisión a menos que alguien me proporcione una respuesta experta que demuestre que es inútil), así que por favor respete mi decisión de que me gustaría automatizar. No quiero revisar todas las listas compiladas de xss, sql injection, etc. y probarlas manualmente en mi sitio (incluso los hackers no lo hacen). Súper puntos extra para cualquiera que reciba la pregunta.
Algunas personas se preguntan por qué no solo aprenden. Las mejores prácticas (que yo sé) no son lo mismo que saber piratear. Algunas personas quieren argumentar que son una moneda de mano, pero definitivamente no estoy de acuerdo :) por lo tanto, necesito una herramienta de protección por alguien con la "mentalidad de pirata". ¿Cómo va a doler, de hecho, debe intentarlo también;) respuestas de expertos de los que saben.
He estado buscando algún tipo de analizador de código estático durante años. Sobre todo, he puesto mis esperanzas en el nuevo proyecto roadsend + LLVM, es concebible que pueda generar advertencias como desee a medida que compila. –
"Gracias por el esfuerzo de responder, pero ninguno hasta ahora parece entender el punto". - Eso es porque no se puede obtener el punto. Los seres humanos encuentran agujeros de seguridad usando cantidades increíbles de creatividad, esfuerzo y esfuerzo. Si las auditorías de seguridad pueden ser reemplazadas por la automatización, ¿cree que alguien elegiría hacerlo manualmente? –
@Pekka, Parece que está olvidando el punto de que tales herramientas ya existen. Di un ejemplo de uno en mi propia pregunta, sin mencionar que los piratas informáticos todos los días están probando sus sitios usando variaciones de ellos. Ok, suficiente dijo :) – Chris