Где можно почитать про аудит информационной безопасности веб-приложения?

Question

[Anton Filippov]

Добрый вечер!
Сейчас существует множество сервисов по аудиту ИБ веб-сайтов\приложений, где можно почитать про их деятельность? Что именно они проверяют и как?
Я пока что нашел только вот это.

В идеале я бы хотел почитать статьи, возможно даже и с примерами, как найти ту или иную уязвимость на веб-сайте.

Дополню, что предпочтителен метод черного ящика(я не имею доступа к файлам сервера, на котором расположен сайт)

Answer 1

[Kevin]

Вобщем-то вы попали в точку, то есть это самый (ну один из самых - это точно) "расшаренный" сайт по безопасности веб-приложений, там есть много всяких проектов, которые тем или иным образом касаются безопасности именно веба.
Но в вашем случае вам нужно посмотреть этот проект по пентесту веб-приложений на уязвимости (то есть по обнаружению). В том проекте есть гайд в pdf формате (относительно свежий), где все очень хорошо и удобно расписано, там описываются все виды уязвимостей, как их искать (описываются и черный, и серый ящики), как их потом можно будет раскрутить, ссылки на дополнительные статьи и конечно же инструменты/сервисы для автоматизации и помощи в обнаружении тех уязвимостей.
Так же там на сайте есть статьи (иногда даже проекты отдельные) по некоторым видам уязвимостей, тоже интересно будет почитать.
Из CGI-сканнеров можно выделить Acunetix Web Vulnerability Scanner (но платный, собака, хотя торрент в помощь), так же можете посмотреть ZAP от участников того самого OWSAP'a.
Насчет сервисов: если про онлайн сканнеры, то, как правило методики работы не разглашаются (особенно, если коммерческий), вот у опен сорсных сканнеров всегда есть мануаллы по принципам их работы, но хочу заметить такие сканнеры обычно выявляют тривиальные уязвимости и изучение их работы очень много не даст по пентесту веб-приложений. Если вы имели ввиду сервисы, как команды специалистов, которые проводят аудит, то они, естественно тоже этого не разглашают, но есть организации (как описанная выше - OWASP), которые созданы как раз для того, чтобы делиться информацией и описывать всевозможные методики и хитрости по обнаружению и эксплуатации уязвимостей, помимо подобных организаций можно много полезного узнать на соответствующих форумах (RDot.org, например).

Comments

[Anton Filippov]

Спасибо за объемный ответ и ссылку на гайд! Обязательно ознакомлюсь.
Просто софт для обнаружения меня не интересует, мне нужно именно знать методику.

Answer 2

[ilya Lutkov]

Вот с этого сайта что указал и надо начинать согласен с человеком ответившим тебе первым.
Для удачного Penetration Testing(а) воспользуйся дистрибутивом kali linux довольно не плохая ОС для пен-тестеров как профи так и начинающих. сам пентестами занимаюсь уже где то 5 лет начинал ещё на backtrack. На сегодня курсов по Ethical Hacking(у) пруд пруди бери любой но я бы рекомендовал тебе Клевогина забавный чел есть чего послушать и подучиться сам какое то время смотрел его уроки хотя и до этого всё это знал. На античате по залипай статьи почитай там тоже много чего интересного ну и вообще на всех хакерских ресурсах но самое главное на хабаре полно путних статей по каждому инструменту и аудиту можно сказать кландайк для начинающего кулхацкера и пентестера ))) Кстати мне больше нравятся ещё статьи от позитив технолоджис там вообще что то на грани фантастике ребята творят посети их сайт почитай их статьи и доклады... на ютубе роликов много начинай с любых.

Comments

[Anton Filippov]

Спасибо, но уже неактуально)) Я диплом полгода назад защитил

Answer 3

[Павел]

Ребята из DefconRU переводят Owasp Testing Guide https://defcon.ru/tag/owasp/

Comments

[Anton Filippov]

Да с английским проблем нет, и вопрос уже давно неактуален