Чем искать уязвимости веб-приложений: сравниваем восемь популярных сканеров

[yearslater]

Что за игра на первой картинке?

[VioletGiraffe]

Half-Life 2. Хорошая, годная КПДВ :) На картинке летающий полицейский сканер.

[Valsha]

Только вот Arachni судя по гитхабу github.com/Arachni/arachni как то то ли релиз был последний 2 года назад. То ли обновления на по базе уязвимостей у него отдельно от релизов.

[TomHunter]

На сколько мы поняли, да, Arachni не обновляется уже порядка двух лет и репозиторий уязвимостей тоже. Несмотря на это, все позиции OWASP TOP10 (2017) арахни ищет замечательно. Возможно будет обновление, когда будет новый актуальный топ owasp.

[Worldpunk]

Ребята то что вы делаете в последнее время неоднозначно. Увы я не могу сказать что вы пишите лажу, за это и больно, раньше с удовольствием читал забавные статьи, вы умеете на человеческий язык их переводить. Я очень прошу не давать инфу по этой тематике, интернет и так переполнен, рассказывайте как защищаться, как ломать каждый и так знает, узнали по взлому, опубликуйте лучше как не допустиить, где пофиксить. Вообще веб взлом, это самое нубское что можно делать. До нормальных сервисов вы через саайт не доберетесь они не подключены к глобалке. Это мое первое сообщение, меня вообще сегодня выбесило что такая инфа стала писрит сайт. Это уголовка еслим что. Приедит фсб с тарелками и будит трасерить канал не советую дома держать wi-fi из опыта говорю, и не то что он вреден. Помогите создать безопасный интернет.

[TomHunter]

Спасибо, что следите за нашими публикациями. Статья может служить отправной точкой в поиске уязвимостей для начинающих специалистов или владельцев веб-сервисов.

Лучшая защита – это нападение. Именно так можно найти уязвимые места в системе, что и является целью тестирования на проникновение и этичного хакинга. Веб-сканеры позволяют автоматизировать некоторые рутинные части процесса поиска уязвимостей и находить тривиальные ошибки безопасности на веб-ресурсах, экономя время специалистов. Описание принципов нападения не менее важно, чем описание принципов защиты. Есть достаточное количество руководств по написанию безопасного кода и безопасных приложений, но часто ими пренебрегают.

Помогите создать безопасный интернет.

С удовольствием выслушаем ваши предложения и, возможно, напишем статью.

[DASenkiv]

Активно на вами не слежу, но статья мне понравилась, спасибо!

[TomHunter]

Спасибо. Это легко исправить: подписывайтесь, ставьте лайк :) Совсем скоро будет ещё больше интересного!

[site6893]

ФСБ есть только в России, а хабр читают и во многих других странах, ты же ведь в курсе правда?

[IgorBelyakov]

у Tenable.io есть локальная версия — nessus.pro

[TomHunter]

Всё-таки это 2 разных сканера с различным набором функций. Использовать сетевой сканер nessus в рамках работы с веб-приложениями сомнительно.