Сегодня я хочу рассказать вам про серьёзную программу от серьёзных мужиков из IBM.
На сайте OWASP часто и везде говорится, что желательно, если не необходимо использовать программы для автоматического тестирования вашего приложения чтобы быть уверенным, что команда тестировщиков ничего не пропустила.
У нас в компании одна из самых лучших команд тестировщиков в Украине, а возможно и не только в Украине (ИМХО), но, тем не менее, нельзя исключать человеческий фактор во время тестирования ПО поэтому вам просто необходима программа, которая в очередной раз прогонит все тесты на всевозможные уязвимости даже при незначительном изменении функционала.
В связи с этим недавно мои руки добрались до триальной версии программы "IBM Rational Appscan". Я очень наделся, что прежде чем она напомнит о триале, она проверит хотя бы часть сайта, который мы разрабатываем, но ... в IBM работают действительно серьёзные мужики :) в триале можно тестировать только их доступный демо сайт.
Что я могу сказать по поводу тестирования. Я удивлен и ошарашен :) Программка провела более 15 000 тестов для того небольшого сайта. Мне просто интересно, сколько бы времени понадобилось тестировщику, чтобы провести столько же тестов... Этой программе понадобилось чуть больше получаса. Она нашла несколько XSS'ов, серверные проблемы, скрытые папки и т.п.

Итого: Программа из разряда НАДО. Заменит ли она работу тестировщиков? Конечно нет. Это замечательное дополнение к их работе, чтобы они могли сконцентрироваться на ошибках, которые эта программа не отловит, например логические, ошибки дизайна, опечатки в тексте и т.п.

Ну и ложка дегтя в бочку меда. IBM Rational AppScan Express Edition стоит на сегодняшний день 18 000 настоящих американских долларов с лицензией на один год.
Мне просто интересно, сколько компаний, которые специализируются на тестировании сайтов и просят за свою работу бешеных денег (в районе тех самых 15-18 тысяч долларов) - тупо используют эту программу :)