Testen. Code lezen, en nog meer testen.

(testen bij voorkeur door iemand anders laten doen)

Nuttige adviezen staan op de site van OWASP bijvoorbeeld:
https://www.owasp.org/index.php/SQL_Injection

Ook op de site van Certified Secure staan nuttige adviezen. Wel even een account aanmaken.
https://www.certifiedsecure.com/frontpage

Een code-review en testen door iemand anders laten doen.

download wa3f of hoe je dat ook schrijft, net als metasploit platform (kan je trouwens ook gebruiken maar wat minder noob vriendelijk). verteld je zat over de basis van t verhaal, gaat veel sneller en je bent redelijk gecoverd.

Het is w3af anders kan je het moeilijk vinden. Ook sqlmap is een goede tool om SQL-injectie te testen. Wel vereisen dergelijke tools kennis van zaken, omdat het geen 100% zekerheid bied.

Mijn stelling is dat je met testen alleen kunt aantonen dat er fouten in software zitten.
Met testen kun je niet aantonen dat software foutvrij is.

Havij Free help misschien. Zie:

http://architects.dzone.com/articles/hacking-childs-play-how-my-3

Test tooltje om de meest duidelijke fouten eruit te pikken: http://websecurify.com/chrome

http://ironwasp.org/download.html

1. install (niet nodig, klik ironwasp.exe)
2. voer target url in (jouw site)
3. klik scan
4. wachten
5. resultaten bekijken
6. resultaten (proberen) te fixen.
7. succes.

Bij zo'n scan heb je weer te maken met fals positives

Oh ja hoor! weer zo'n 1. Alsof je die niet tegen komt als je handmatige de boel controleert?
ik bedoel 't is zoiszo makkelijker om XSS, SQL injection, LFI, RFI, CSRF, Path traversals etc te vinden, en helemaal de false/positives bevestigen / er uit te pikken.. dus das een beeeeetje achterhaalde reactie..

tegenwoordig bestaan er ook hele goede scanners die false/positives zelf herkennen hoor, gewoon een beetje je neus uit de boeken halen en zelf op onderzoek gaan. iets wat ik eigenlijk altijd al roep hier.

voor false/positives moetje vooral daar zijn ja. die chrome extentie is redelijk nieuw te noemen, en niet bepaald professioneel qua Vuln hunting. perfecte alternatieven zijn: Acunetix / IronWasp / NOwasp mutillidae

Je kan er 100 tools op zetten en die kunnen alsnog alle lekken missen, als je niet weet hoe je ze moet bedienen en hoe je ze met de hand moet zoeken en oplossen. Zo'n tool is een handig stuk gereedschap om tijd te besparen als je een hele grote website moet testen, of om alvast een idee te krijgen van de mogelijke vulnerabilties die je tegen zult gaan komen. Het is geen vervanging voor zelf snappen waar je mee bezig bent en dingen met de hand verifieren en eventueel de tool na de 1e keer draaien anders in te stellen, op basis van de resultaten.

Als je het zelf niet weet, zou ik twee dingen doen.

1) laat er iemand naar kijken die het wel goed kan, als je site al "live" staat of dat heel snel moet zijn. Dan weet je in ieder geval iets beter waar je aan toe bent en kan je eventuele lekken die gevonden worden alvast dicht zetten.

2) leer zelf hoe je lekken moet vinden en voorkomen. Als je zelf je website netjes programmeert met kennis van wat er fout kan gaan, is de kans dat iemand alsnog wat vind veel kleiner. Alsnog kan je je werk nog door een ander laten controleren natuurlijk, maar de kans dat die dan wat vind is alweer een stuk kleiner. Dit soort dingen leer je niet in een dag, dus wees bereid om er tijd en moeite in te stoppen.