Задать вопрос
vicodin
@vicodin
Имею некоторый опыт
информационная-безопасность

Посоветуете литературу по аудиту ИБ Веб-приложений?

Всем привет!
В качестве диплома я должен разработать веб-приложение, которое проверяет другие веб-приложения на уязвимости. Я очень рассчитывал на OWASP guide, но прочитав его, разочаровался, т.к. действенных методов проверки там нет или расписаны сухо.

В планах разобраться с node.js, арендовать сервак, и сделать, чтобы мой сайт осуществлял 3-4 проверки.
Буду благодарен ссылкам на ресурсы\книги, которые помогут мне реализовать требуемый функционал.
  • Вопрос задан
  • 484 просмотра
Комментировать
Подписаться 2 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
@vilgeforce
Раздолбай и программист
Сделайте crawler, который будет искать скрипты, принимающие GET-параметры (file.php?id=1&p=2) и формы. Потом проверка всех найденных результатов на SQLi. По SQLi инфы полно, сорцы sqlmap тоже доступны.
Ответ написан
4 комментария
4 комментария
@g00dv1n
Солидарен с ответом выше. Могу посоветовать ресурс https://pentesterlab.com

Там много образов для тренировок (относительно много). Так же могу посоветовать посмотреть как это реализовано в skipfish.
https://github.com/spinkham/skipfish

Проверять сайты на WP с помощью wpscan.

Вообще, если сильно заморочиться, можно еще сделать, чтобы приложение сканило порты с помощью nmap и проверяло, например, версию FTP на сервере и сверяло с базой данной уязвимостей metasploit.

Еще могу посоветовать книгу. www.amazon.com/gp/product/1593273886
Правда на русском перевода нет.
Ответ написан
3 комментария
3 комментария
@disakov
Если честно, я бы посоветовал посмотреть книгу - www.amazon.com/Web-Application-Hackers-Handbook-Exploiting/dp/1118026470/. Там идеологическая составляющая хорошо описана, а также есть четкие указания где и что проверять по какой теме. Ну и воспользоваться ответами выше. Скрипт, который запускает нужные тулзы, собирает данные и складывает куда надо - тоже неплохой опыт.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Специалист по управлению уязвимостями (информационная безопасность)
Гринатом Москва
от 100 000 до 120 000 ₽
DevSecOps
Outlines Tech
от 300 000 до 350 000 ₽
Руководитель направления информационной безопасности ОКИИ
Интер РАО – Управление сервисами Санкт-Петербург
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Создать превью/обложку для видео Ютуб
05 мая 2024, в 19:38
2000 руб./за проект
Переделать код VBA из Access в Excel
05 мая 2024, в 19:28
1000 руб./за проект
Разработка маршрутной и операционной карты по эскизу
05 мая 2024, в 18:43
1 руб./за проект
Ещё заказы