vicodin
@vicodin
Имею некоторый опыт

Где можно почитать про аудит информационной безопасности веб-приложения?

Добрый вечер!
Сейчас существует множество сервисов по аудиту ИБ веб-сайтов\приложений, где можно почитать про их деятельность? Что именно они проверяют и как?
Я пока что нашел только вот это.

В идеале я бы хотел почитать статьи, возможно даже и с примерами, как найти ту или иную уязвимость на веб-сайте.

Дополню, что предпочтителен метод черного ящика(я не имею доступа к файлам сервера, на котором расположен сайт)
  • Вопрос задан
  • 2750 просмотров
Пригласить эксперта
Ответы на вопрос 3
Klanc
@Klanc
Вобщем-то вы попали в точку, то есть это самый (ну один из самых - это точно) "расшаренный" сайт по безопасности веб-приложений, там есть много всяких проектов, которые тем или иным образом касаются безопасности именно веба.
Но в вашем случае вам нужно посмотреть этот проект по пентесту веб-приложений на уязвимости (то есть по обнаружению). В том проекте есть гайд в pdf формате (относительно свежий), где все очень хорошо и удобно расписано, там описываются все виды уязвимостей, как их искать (описываются и черный, и серый ящики), как их потом можно будет раскрутить, ссылки на дополнительные статьи и конечно же инструменты/сервисы для автоматизации и помощи в обнаружении тех уязвимостей.
Так же там на сайте есть статьи (иногда даже проекты отдельные) по некоторым видам уязвимостей, тоже интересно будет почитать.
Из CGI-сканнеров можно выделить Acunetix Web Vulnerability Scanner (но платный, собака, хотя торрент в помощь), так же можете посмотреть ZAP от участников того самого OWSAP'a.
Насчет сервисов: если про онлайн сканнеры, то, как правило методики работы не разглашаются (особенно, если коммерческий), вот у опен сорсных сканнеров всегда есть мануаллы по принципам их работы, но хочу заметить такие сканнеры обычно выявляют тривиальные уязвимости и изучение их работы очень много не даст по пентесту веб-приложений. Если вы имели ввиду сервисы, как команды специалистов, которые проводят аудит, то они, естественно тоже этого не разглашают, но есть организации (как описанная выше - OWASP), которые созданы как раз для того, чтобы делиться информацией и описывать всевозможные методики и хитрости по обнаружению и эксплуатации уязвимостей, помимо подобных организаций можно много полезного узнать на соответствующих форумах (RDot.org, например).
Ответ написан
Nikbim
@Nikbim
Специалист по защите информации
Вот с этого сайта что указал и надо начинать согласен с человеком ответившим тебе первым.
Для удачного Penetration Testing(а) воспользуйся дистрибутивом kali linux довольно не плохая ОС для пен-тестеров как профи так и начинающих. сам пентестами занимаюсь уже где то 5 лет начинал ещё на backtrack. На сегодня курсов по Ethical Hacking(у) пруд пруди бери любой но я бы рекомендовал тебе Клевогина забавный чел есть чего послушать и подучиться сам какое то время смотрел его уроки хотя и до этого всё это знал. На античате по залипай статьи почитай там тоже много чего интересного ну и вообще на всех хакерских ресурсах но самое главное на хабаре полно путних статей по каждому инструменту и аудиту можно сказать кландайк для начинающего кулхацкера и пентестера ))) Кстати мне больше нравятся ещё статьи от позитив технолоджис там вообще что то на грани фантастике ребята творят посети их сайт почитай их статьи и доклады... на ютубе роликов много начинай с любых.
Ответ написан
@IbView
InformationSecurity.Club
Ребята из DefconRU переводят Owasp Testing Guide https://defcon.ru/tag/owasp/
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы