La procezo de provo de penetrado de TTT-aplikaĵo estas farita por detekti kaj raporti ekzistantajn vundeblecojn en TTT-aplikaĵo. Eniga validumado povas esti plenumita per analizado kaj raportado de ekzistantaj problemoj en la aplikaĵo, inkluzive de kodekzekuto, SQL-injekto kaj CSRF.
Bu plej bona QA-firmaohavas unu el la plej efikaj manieroj testi kaj sekurigi TTT-aplikaĵojn per serioza procezo. Ĉi tio inkluzivas fari plurajn provojn pri malsamaj specoj de vundeblecoj.
Testado de penetrado de Reta Aplikaĵo estas esenca elemento de iu ajn cifereca projekto por certigi, ke la kvalito de laboro estas konservita.
Kolekto de datumoj
En ĉi tiu etapo, vi kolektas informojn pri viaj celoj uzante publike disponeblajn fontojn. Ĉi tiuj inkluzivas retejojn, datumbazojn kaj aplikojn, kiuj dependas de la havenoj kaj servoj, kiujn vi provas. Post kolektado de ĉiuj ĉi tiuj datumoj, vi havos ampleksan liston de viaj celoj, inkluzive de la nomoj kaj fizikaj lokoj de ĉiuj niaj dungitoj.
Gravaj Punktoj Konsiderindaj
Uzu la ilon konatan kiel GNU Wget; Ĉi tiu ilo celas reakiri kaj interpreti robot.txt dosierojn.
La programaro devas esti kontrolita por la plej nova versio. Diversaj teknikaj komponantoj kiel datumbazaj detaloj povas esti tuŝitaj de ĉi tiu problemo.
Aliaj teknikoj inkludas zontranslokigojn kaj inversajn DNS-demandojn. Vi ankaŭ povas uzi ret-bazitajn serĉojn por solvi kaj lokalizi DNS-demandojn.
La celo de ĉi tiu procezo estas identigi la enirpunkton de aplikaĵo. Ĉi tio povas esti plenumita uzante diversajn ilojn kiel WebscarabTemper Data, OWSAP ZAP kaj Burp Proxy.
Uzu ilojn kiel Nessus kaj NMAP por plenumi diversajn taskojn, inkluzive de serĉado kaj skanado de dosierujoj por vundeblecoj.
Uzante tradician Fingerprinting Tool kiel Amap, Nmap aŭ TCP/ICMP, vi povas plenumi diversajn taskojn rilatajn al aŭtentikigo de aplikaĵo. Ĉi tiuj inkluzivas kontrolon de etendoj kaj dosierujoj rekonitaj de la retumilo de la programo.
Testo pri Rajtigo
La celo de ĉi tiu procezo estas testi manipuladon de rolo kaj privilegio por aliri la rimedojn de TTT-apliko. Analizi la ensalutvalidigajn funkciojn en la TTT-aplikaĵo ebligas al vi fari vojtransirojn.
Ekzemple, araneo retejo Testu ĉu kuketoj kaj parametroj estas ĝuste fiksitaj en siaj iloj. Ankaŭ, kontrolu ĉu neaŭtorizita aliro al rezervitaj rimedoj estas permesita.
Testo de Aŭtentigo
Se la aplikaĵo elsalutas post certa tempo, eblas uzi la seancon denove. Ankaŭ eblas por la aplikaĵo aŭtomate forigi la uzanton el la neaktiva stato.
Socia inĝenierado-teknikoj povas esti uzataj por provi restarigi pasvorton rompante la kodon de ensaluta paĝo. Se la mekanismo "memoru mian pasvorton" estis efektivigita, ĉi tiu metodo permesos al vi facile memori vian pasvorton.
Se aparataj aparatoj estas konektitaj al ekstera komunika kanalo, ili povas komuniki sendepende kun la aŭtentikiga infrastrukturo. Ankaŭ provu ĉu la sekurecaj demandoj kaj respondoj prezentitaj estas ĝustaj.
sukcesa SQL-injektopovas rezultigi la perdon de kliento-fido. Ĝi ankaŭ povas kaŭzi ŝtelon de sentemaj datumoj kiel informoj pri kreditkartoj. Por malhelpi tion, retaplikaĵo fajroŝirmilo devus esti metita sur sekura reto.
Testo pri validigo de datumoj
JavaScript-kodo-analizo estas farita per funkciado de diversaj testoj por detekti erarojn en la fontkodo. Ĉi tiuj inkluzivas blindan SQL-injektan testadon kaj Union Query-testadon. Vi ankaŭ povas uzi ilojn kiel sqldumper, potencan injektilon kaj sqlninja por plenumi ĉi tiujn provojn.
Uzu ilojn kiel Backframe, ZAP kaj XSS Helper por analizi kaj testi stokitajn XSS. Ankaŭ provu pri sentemaj informoj uzante diversajn metodojn.
Administri Backend Mail-servilon per enŝipiga tekniko. Testu XPath kaj SMTP-injektajn teknikojn por aliri konfidencajn informojn konservitajn sur la servilo. Ankaŭ, faru kodan enkonstruan testadon por identigi erarojn en eniga validumado.
Testu diversajn aspektojn de aplikaĵa kontrolfluo kaj staku memorinformojn uzante bufran superfluon. Ekzemple, fendi kuketojn kaj forkapti retan trafikon.
Testo pri Administrado de Agordo
Vidu la dokumentaron por via aplikaĵo kaj servilo. Ankaŭ certigu, ke la infrastrukturo kaj administraj interfacoj funkcias ĝuste. Certigu, ke pli malnovaj versioj de la dokumentaro ankoraŭ ekzistas kaj devus enhavi viajn programarajn fontkodojn, pasvortojn kaj instalvojojn.
Uzante Netcat kaj Telnet HTTP Kontrolu la eblojn por efektivigi la metodojn. Ankaŭ provu la akreditaĵojn de uzantoj por tiuj rajtigitaj uzi ĉi tiujn metodojn. Faru teston pri agorda administrado por revizii la fontkodon kaj protokolojn.
solvo
Artefarita inteligenteco (AI) estas atendita ludi esencan rolon en plibonigado de la efikeco kaj precizeco de penetrotestado permesante plumtestistojn fari pli efikajn taksojn. Tamen, estas grave memori, ke ili ankoraŭ bezonas fidi sian scion kaj sperton por fari informitajn decidojn.
Estu la unua, kiu komentas