Задать вопрос
@DVoropaev
Ставлю + к карме на хабре за ответы на вопросы

Как составить сценарий тестирования на проникновение?

Товарищи, не могли бы вы подкинуть годного материал по тестированию web приложений?
Есть учебный проект (интернет магазин), написанный на Java EE, и использующий Oracle DB. Есть доступ к исходникам, поэтому возможно тестирования методами белого и черных ящиков.
Вариант "наугад потыкать и сказать тут sql injection, а тут xss" отпадает, сразу. Требуется составить сценарий тестирования, а затем подробный отчет,в котором перечислить найденные уязвимости, их классификацию, и рекомендации по их устранению.
Прошу вас поделиться примерами таких сценариев и отчетов.
Так как я новичок в этом, то полностью автоматизированное тестирование мне не подходит.
  • Вопрос задан
  • 806 просмотров
Подписаться 2 Оценить 4 комментария
Пригласить эксперта
Ответы на вопрос 2
Daemon23RUS
@Daemon23RUS
Вы не можете пользоваться методом белого ящика, пока не выполните пентесты по черному и не напишите отчет.
Так мне нужно повариться в этой теме, если я нажму кнопку в программе, она просканирует и выкинет список уязвимостей, знаний у меня не прибавится
Вы же сами прекрасно понимаете что у Вас так же не прибавится знаний, если Вам напишут список уязвимостей перечисленных систем. Но если Вам "религия" не позволяет нажать на кнопку, вы можете вооружится списком всех уязвимостей (например cve) и ручками сваять пайлоад для каждой. И не забывайте, что сначала Вы работаете с черным ящиком, Вам надо выудить максимум информации о системе, и основываясь на своих предположениях пытаться отыскать уязвимость. Каждая полученная крупица информации как раз и будет одним из следующих пунктов сценария. Я думаю уместным будет сначала все же нажать на кнопку автотест.
Ответ написан
Kamrit
@Kamrit
QA Engineer
Метод тестирования черного ящика + Kali linux, который имеет много плюшек для тестирования безопасности
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы