@DVoropaev

Как составить сценарий тестирования на проникновение?

Товарищи, не могли бы вы подкинуть годного материал по тестированию web приложений?
Есть учебный проект (интернет магазин), написанный на Java EE, и использующий Oracle DB. Есть доступ к исходникам, поэтому возможно тестирования методами белого и черных ящиков.
Вариант "наугад потыкать и сказать тут sql injection, а тут xss" отпадает, сразу. Требуется составить сценарий тестирования, а затем подробный отчет,в котором перечислить найденные уязвимости, их классификацию, и рекомендации по их устранению.
Прошу вас поделиться примерами таких сценариев и отчетов.
Так как я новичок в этом, то полностью автоматизированное тестирование мне не подходит.
  • Вопрос задан
  • 576 просмотров
Пригласить эксперта
Ответы на вопрос 2
Daemon23RUS
@Daemon23RUS
Вы не можете пользоваться методом белого ящика, пока не выполните пентесты по черному и не напишите отчет.
Так мне нужно повариться в этой теме, если я нажму кнопку в программе, она просканирует и выкинет список уязвимостей, знаний у меня не прибавится
Вы же сами прекрасно понимаете что у Вас так же не прибавится знаний, если Вам напишут список уязвимостей перечисленных систем. Но если Вам "религия" не позволяет нажать на кнопку, вы можете вооружится списком всех уязвимостей (например cve) и ручками сваять пайлоад для каждой. И не забывайте, что сначала Вы работаете с черным ящиком, Вам надо выудить максимум информации о системе, и основываясь на своих предположениях пытаться отыскать уязвимость. Каждая полученная крупица информации как раз и будет одним из следующих пунктов сценария. Я думаю уместным будет сначала все же нажать на кнопку автотест.
Ответ написан
Kamrit
@Kamrit
QA Engineer
Метод тестирования черного ящика + Kali linux, который имеет много плюшек для тестирования безопасности
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через TM ID
Похожие вопросы