Как составить сценарий тестирования на проникновение?

Question

[DVoropaev]

Товарищи, не могли бы вы подкинуть годного материал по тестированию web приложений?
Есть учебный проект (интернет магазин), написанный на Java EE, и использующий Oracle DB. Есть доступ к исходникам, поэтому возможно тестирования методами белого и черных ящиков.
Вариант "наугад потыкать и сказать тут sql injection, а тут xss" отпадает, сразу. Требуется составить сценарий тестирования, а затем подробный отчет,в котором перечислить найденные уязвимости, их классификацию, и рекомендации по их устранению.
Прошу вас поделиться примерами таких сценариев и отчетов.
Так как я новичок в этом, то полностью автоматизированное тестирование мне не подходит.

Comments

[sim3x]

Вариант "наугад потыкать и сказать тут sql injection, а тут xss" отпадает, сразу

почему?

сценарий тестирования

те вы уже знаете, какие там проблемы есть?

и рекомендации по их устранению.

ето вообще новичкам нельзя делать (без присмотра)

полностью автоматизированное тестирование мне не подходит.

почему?

[DVoropaev]

Вариант "наугад потыкать и сказать тут sql injection, а тут xss" отпадает,

так как при таком подходе обнаружится лишь малая часть уязвимостей.

те вы уже знаете, какие там проблемы есть?

Нет, по этому и необходимо составить сценарий для поиска всех возможных уязвимостей.

ето вообще новичкам нельзя делать (без присмотра)

Так я же говорю, что это учебный проект.

полностью автоматизированное тестирование мне не подходит. почему?

Так мне нужно повариться в этой теме, если я нажму кнопку в программе, она просканирует и выкинет список уязвимостей, знаний у меня не прибавится

[sim3x]

dableproger:

так как при таком подходе обнаружится лишь малая часть уязвимостей.

откуда такие сведения? Есть статистика?
Кроме того, если такие уязвимости есть - ими воспользуются боты

всех возможных уязвимостей

1 строка код содержит бесконечное колличество уязвимостей

это учебный проект.

к учебному нужно относиться также как и к рельаному

знаний у меня не прибавится

идем в исходники инструмента и смотрим, какую цве он проексплуатировал. Если после етого у вас знаний не прибавится, то лучше не трогать инфобез

[DVoropaev]

sim3x: Это учебное задание, в вопросе я перечислил тз, если у вас есть конкретное предложение, прошу его изложить!

Answer 1

[Daemon23RUS]

Вы не можете пользоваться методом белого ящика, пока не выполните пентесты по черному и не напишите отчет.

Так мне нужно повариться в этой теме, если я нажму кнопку в программе, она просканирует и выкинет список уязвимостей, знаний у меня не прибавится

Вы же сами прекрасно понимаете что у Вас так же не прибавится знаний, если Вам напишут список уязвимостей перечисленных систем. Но если Вам "религия" не позволяет нажать на кнопку, вы можете вооружится списком всех уязвимостей (например cve) и ручками сваять пайлоад для каждой. И не забывайте, что сначала Вы работаете с черным ящиком, Вам надо выудить максимум информации о системе, и основываясь на своих предположениях пытаться отыскать уязвимость. Каждая полученная крупица информации как раз и будет одним из следующих пунктов сценария. Я думаю уместным будет сначала все же нажать на кнопку автотест.

Comments

[DVoropaev]

какие приложения для тестирования можете посоветовать? желательно работающие под linux. Почему нельзя использовать белый ящик, пока не сделаю по черному? и самый главный вопрос, это источники литературы для по этой теме. Благодарю за ответ

[Daemon23RUS]

dableproger: Учитывая бесконечность пути, Вы находясь в самом начале, продвинулись на некоторое расстояние. Я умышленно не давал приложений, это приходит само. Но ели у Вас вакуум - обратите внимание на список программ входящий в кали. Лучшим вариантом будет самостоятельная установка в свою систему.
Как вы будете тестировать черный ящик когда будете владеть информацией о нем ?! Это уже не черный ящик, максимум - "светло-серый"
Литература - абсолютно вся, которую сможете найти. Ваш успех зависит не сколько от глубины знаний в одной области, а больше от их обширности. В первую очередь всяческие RFC, напрмиер по TCP/IP Вы должны знать и понимать все 4 уровня. Поверьте, это колоссальный объем информации на освоение которого уйдут годы. Это очень занимательная область.

Answer 2

[Валера Фиголь]

Метод тестирования черного ящика + Kali linux, который имеет много плюшек для тестирования безопасности