Все мы люди и все мы ошибаемся, и именно человеческий фактор является второй и более значимой проблемой и причиной половины ошибок. Даже профессионалы могут ошибаться в абсолютно безобидных местах. Чисто машинально можно поставить не тот символ или из-за невнимательности забыть сделать проверку.
Искать ошибки вручную не так уж и сложно, но программисты не любят тщательно тестировать свое творение, надеясь на правильность кода. Но надежда умирает последней, а точнее, сразу после взлома.
Но это же так нудно просматривать все страницы и все параметры. И причем после каждого изменения кода, даже незначительного. Причем нужно тестировать абсолютно все, ведь изменение в одном сценарии или настройках в базе данных может привести к ошибке совершенно в неожиданном месте и на той странице, сценарий которой мы не изменяли. Поэтому нужно каждый раз проверять абсолютно весь сайт и все параметры.
CyD NET Utils
Программа может работать как напрямую с инетом, так и через Proxy сервер. При этом, настройки Proxy можно сохранить глобально для всей программы или выбрать индивидуально для данного теста, если вдруг ты хочешь произвести тест через анонимный проксик, чтобы тебя никто не вычислил.
По завершении сканирования программа предлагает небольшой отчет о проделанной работе и предлагает ссылки на сайт, с описанием найденных ошибок и вариантами их исправления.
На данный момент программа ищет ошибки в сценариях на PHP и ASP. В ближайшее время будет добавлен Macromedia Cold Fusion.
Acunetix Web Vulnerability Scanner
Разработчиком проги является в недавнем времени малоизвестная, но в последнее время очень сильно раскрученная Acunetix.
Vulnerability Scanner позволяет искать ошибки в сценариях на языках PHP, ASP и ASP.NET. Помимо этого, программа может проверять на ошибки JavaScript сценарии, что можно отнести к преимуществам. Можно тестировать не только через прямой коннект, но и HTTP или SOCKS прокси сервер, что будет очень удобно хакерам для обеспечения анонимности.
Что выбрать?
Когда сайт состоит из одного файла сценария и получает немного параметров, проверить все руками достаточно просто. А если у тебя целый портал, который состоит из сотен сценариев? Тут уже на полноценные ручные тесты может уйти больше времени, чем на кодинг. Делать беглый тест не имеет смысла, потому что велика вероятность что-то упустить, и тогда взлом будет не за горами. Поэтому для облегчения жизни стали появляться программы, автоматизирующие этот процесс.
Может ли программа решить нашу проблему? Решить может, а вот гарантировать результат – нет. Алгоритмы поиска в разных программах не идеальны и зависят от множества факторов. Какая-та мелочь может повлиять на результат и прога не найдет уязвимости, а вот хакер ручками быстро найдет ошибку. Так что же тогда делать? В случае со средствами безопасности, особенно тестами я всегда рекомендовал использовать несколько разных программ. Если одна не найдет ошибку, то может быть другая увидит что-то интересное. Каждая программа использует свой алгоритм, который может быть эффективным в той ли иной ситуации.
Но даже при использовании автоматического тестирования, ручной способ исключать нельзя. При регулярной проверке автоматом, достаточно хотя бы раз в неделю просматривать основные места ручками, а лучше все. Солидные компании для этих целей нанимают хакеров, чтобы они тестировали их сервера на предмет безопасности. Мелкие компании и индивидуальные владельцы сайтов не могут себе позволить такого счастья, поэтому приходиться ограничиваться автоматическими тестами специализированных программ.
