Задать вопрос
@insomnia77
информационная-безопасность

Как тестировать на web-приложение на безопасность?

Провел интеграционное тестирование за 2 недели нашел 200+ ошибок. Сказали протестировать на безопасность. К сожалению, опыта тестирования на безопасность никакого не было. Попробовал по втыкать xss в поля. Прочитал описание по burp, потестировал с ним пару дней. Не получилось найти ни одной ошибки - но я уверен, что они 100% есть. Собственно вопрос, не встречался ли кому-нибудь хороший, подробный, систематизированный материал, о том как "взломать сайт"? В частности меня интересует, как подделывать запросы и воровать куки у пользователей?
  • Вопрос задан
  • 2850 просмотров
Комментировать
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
@vilgeforce
Раздолбай и программист
Acunetix. sqlmap для поиска инъекций.
Ответ написан
Комментировать
Комментировать
@Qudu
Думаю очень полезен будет вот этот материал

Как новичку Вам все же стоит воспользоваться сканерами безопасности: Acunetix, Netsparker, w3af
Для отправки запросов вы можете использовать как CURL, так и Burp, в том числе Acunetix обладает таким функционалом.
Чтобы понять как воровать куки, необходимо разобраться с XSS и сценарии атак на Cookie.

Все это подходит для BlackBox тестирования, если у Вас есть код то проверьте его на лучшие практики.
Описанное покрывает Вашу задачу. Для более детального анализа обращайтесь к специалистам. ;-)
Ответ написан
Комментировать
Комментировать
@dmitry4623
Начинающий безопасник
Выше правильно посоветовали для начала почитать owasp testing guide. В крайнем случае, статьи на хабре :)
Из сканеров еще могу посоветовать arachni, x-spider, detectify.com, metascan.ru. Последний в отчётах пишет, как экспуатировать XSS и как их устранять.
В общем, пользуйся готовыми решениями, когда время поджимает, найдёшь самые распространённые ошибки.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
Специалист по информационной безопасности
Данафлекс Казань
от 90 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Менеджер по продажам в онлайн-школу
17 апр. 2024, в 00:48
35000 руб./за проект
Сделать картинки для слов
17 апр. 2024, в 00:13
800 руб./за проект
Разработка backend python+django
17 апр. 2024, в 00:06
240000 руб./за проект
Ещё заказы