Перейти к содержимому

Фотография

Тестирование безопасности сайтов. Простветите невежду.


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 20

#1 aaa

aaa

    Активный участник

  • Members
  • PipPip
  • 110 сообщений
  • ФИО:Макеенков Сергей Сергеевич
  • Город:г. Ивантеевка

Отправлено 11 января 2010 - 07:39

Просветите невежду... расскажите о значении термина "Тестирование безопасности сайтов".

Если можно давайте после определения термина поговорим и способах и методах, хотя бы о их названиях :)
  • 0
Что я буду делать в свободный день:
поиграю в самолетики под кроватью,
совершу мелкое хулиганство над печенью,
поищу место под солнцем, накормлю жадные пальцы,
поражу красноречием, пренебрегу приличиями.

Blog - блог о тестировании и не только
------
Светодиоды - интернет-магазин

#2 Clauster

Clauster

    Профессионал

  • Members
  • PipPipPipPipPipPip
  • 1 913 сообщений
  • ФИО:Худобородов Валерий
  • Город:Espoo

Отправлено 11 января 2010 - 10:22

"Тестирование безопасности сайтов"

а какое из этих трех слов вызывает затруднения?
  • 0

#3 CVD

CVD

    Новый участник

  • Members
  • Pip
  • 47 сообщений
  • ФИО:Сергей

Отправлено 12 января 2010 - 07:32

В частности, безопасный сайт не должен предоставлять возможность юзеру попасть на страницу минуя логин скрин, используя урл этой страницы. Как-то так. Гуру, подскажите еще!
  • 0

#4 aaa

aaa

    Активный участник

  • Members
  • PipPip
  • 110 сообщений
  • ФИО:Макеенков Сергей Сергеевич
  • Город:г. Ивантеевка

Отправлено 12 января 2010 - 09:31

"Тестирование безопасности сайтов"

а какое из этих трех слов вызывает затруднения?


затруднение вызывает значение слова "Тестирование безопасности сайтов" и кто, что под этим выражением понимает...
  • 0
Что я буду делать в свободный день:
поиграю в самолетики под кроватью,
совершу мелкое хулиганство над печенью,
поищу место под солнцем, накормлю жадные пальцы,
поражу красноречием, пренебрегу приличиями.

Blog - блог о тестировании и не только
------
Светодиоды - интернет-магазин

#5 Alfa

Alfa

    Специалист

  • Members
  • PipPipPipPipPip
  • 553 сообщений
  • Город:Moscow

Отправлено 12 января 2010 - 10:36

затруднение вызывает значение слова "Тестирование безопасности сайтов" и кто, что под этим выражением понимает...

http://www.google.co...ecurity testing
http://www.google.co...ecurity testing

Изображение
  • 0

Чубака — это вуки с планеты Киши, но живет Чубака на планете Эндо, а теперь вдумайтесь:
в этом же нет смысла. С какой стати Чубаке, вуки высотой два с половиной метра,
жить среди эвоков, которые чуть выше полуметра. В этом нет абсолютно никакого смысла.


#6 rlabs

rlabs

    Специалист

  • Members
  • PipPipPipPipPip
  • 660 сообщений
  • Город:Россия, Санкт-Петербург

Отправлено 12 января 2010 - 14:18

Допустимая интерпретация: "Тестрование безопасности сайта для пользователя".
  • 0

#7 aaa

aaa

    Активный участник

  • Members
  • PipPip
  • 110 сообщений
  • ФИО:Макеенков Сергей Сергеевич
  • Город:г. Ивантеевка

Отправлено 12 января 2010 - 14:46

затруднение вызывает значение слова "Тестирование безопасности сайтов" и кто, что под этим выражением понимает...

http://www.google.co...ecurity testing
http://www.google.co...ecurity testing


какие же интересные здесь и общительные люди собираются....

как вы думаете Альфа, откуда берёться результаты Гугла?! Видимо из таких форумов и тем как эта... Так откуда взяться результатам, если все и всегда будут посылать за ответом в Гугл! :mega_shok:

я понимаю, что на любой по сути впорос можно отправить в Гугл, но мне не нужно миллион ссылок, мне нужны ответы людей которые этим занимаются, занимались... что они делали более подробно... что в том или ином контексте понимается под обозначенным мной выражением!

Спасибо за внимание, господа, доброжелатели, специалисты!
  • 0
Что я буду делать в свободный день:
поиграю в самолетики под кроватью,
совершу мелкое хулиганство над печенью,
поищу место под солнцем, накормлю жадные пальцы,
поражу красноречием, пренебрегу приличиями.

Blog - блог о тестировании и не только
------
Светодиоды - интернет-магазин

#8 Alfa

Alfa

    Специалист

  • Members
  • PipPipPipPipPip
  • 553 сообщений
  • Город:Moscow

Отправлено 12 января 2010 - 16:07

я понимаю, что на любой по сути впорос можно отправить в Гугл, но мне не нужно миллион ссылок, мне нужны ответы людей которые этим занимаются, занимались... что они делали более подробно... что в том или ином контексте понимается под обозначенным мной выражением!

Так Вас же переспросили:

а какое из этих трех слов вызывает затруднения?

поверьте это было неспроста. Вам хотели помочь, но Вы не дали такой возможности, повторив вопрос без уточнения формулировки. Остался единственно верный (ИМХО) вариант ответа — гугл. Вы его и получили.

После данного уточнения Ваш вопрос стал чуть более понятен, но если Вы хотите получить тот ответ, который Вам поможет, Вам следует еще больше уточнить вопрос.
  • 0

Чубака — это вуки с планеты Киши, но живет Чубака на планете Эндо, а теперь вдумайтесь:
в этом же нет смысла. С какой стати Чубаке, вуки высотой два с половиной метра,
жить среди эвоков, которые чуть выше полуметра. В этом нет абсолютно никакого смысла.


#9 Clauster

Clauster

    Профессионал

  • Members
  • PipPipPipPipPipPip
  • 1 913 сообщений
  • ФИО:Худобородов Валерий
  • Город:Espoo

Отправлено 12 января 2010 - 16:09

затруднение вызывает значение слова "Тестирование безопасности сайтов" и кто, что под этим выражением понимает...

http://www.google.co...ecurity testing
http://www.google.co...ecurity testing


какие же интересные здесь и общительные люди собираются....

как вы думаете Альфа, откуда берёться результаты Гугла?! Видимо из таких форумов и тем как эта... Так откуда взяться результатам, если все и всегда будут посылать за ответом в Гугл! :mega_shok:

я понимаю, что на любой по сути впорос можно отправить в Гугл, но мне не нужно миллион ссылок, мне нужны ответы людей которые этим занимаются, занимались... что они делали более подробно... что в том или ином контексте понимается под обозначенным мной выражением!

Спасибо за внимание, господа, доброжелатели, специалисты!

Т.е. только вы можете позволить себе лениться, при этом что-то требуя от незнакомых вам людей?
  • 0

#10 barancev

barancev

    Администратор

  • Admin
  • PipPipPipPipPipPip
  • 6 871 сообщений
  • ФИО:Алексей Баранцев
  • Город:Россия, Москва


Отправлено 12 января 2010 - 18:32

После данного уточнения Ваш вопрос стал чуть более понятен, но если Вы хотите получить тот ответ, который Вам поможет, Вам следует еще больше уточнить вопрос.

Я бы даже более конкретно поставил вопрос об уточнении -- чем не устраивает, скажем, описание в Википедии?
  • 0
Алексей Баранцев
Тренинги для тестировщиков (тестирование производительности, защищенности, тест-дизайн, автоматизация):
Линейка тренингов по Selenium

#11 rlabs

rlabs

    Специалист

  • Members
  • PipPipPipPipPip
  • 660 сообщений
  • Город:Россия, Санкт-Петербург

Отправлено 12 января 2010 - 20:09

какие же интересные здесь и общительные люди собираются....

Поясню про интерес и общение.

У вас проблемы с орфографией. -100 в карму тестировщика.
Вы не смогли проанализировать ответ гугла. -200 в карму тестировщика.
У вас не возникло ни одного конкретного вопроса по теме. Это обозначает, как правило, что спрашивающий вообще не пытался разобраться, но "я б тестировщиком стал, пусть меня научат".

С таким подходом вам стоит обратить внимание на платные тренинги по тестированию безопасности сайтов. Либо подумать о смене профессии.
  • 0

#12 aaa

aaa

    Активный участник

  • Members
  • PipPip
  • 110 сообщений
  • ФИО:Макеенков Сергей Сергеевич
  • Город:г. Ивантеевка

Отправлено 12 января 2010 - 21:13

какие же интересные здесь и общительные люди собираются....

Поясню про интерес и общение.

У вас проблемы с орфографией. -100 в карму тестировщика.
Вы не смогли проанализировать ответ гугла. -200 в карму тестировщика.
У вас не возникло ни одного конкретного вопроса по теме. Это обозначает, как правило, что спрашивающий вообще не пытался разобраться, но "я б тестировщиком стал, пусть меня научат".

С таким подходом вам стоит обратить внимание на платные тренинги по тестированию безопасности сайтов. Либо подумать о смене профессии.


Ещё раз спасибо...
"Всем по + в карму"

Т.е. только вы можете позволить себе лениться, при этом что-то требуя от незнакомых вам людей?

да кто угодно может лениться :) мне не жалко!

поверьте это было неспроста

я спросил так потому, что реально мало, что понимаю в этой теме... и об этом сразу явно указал в названии темы!

чем не устраивает, скажем, описание в Википедии?

думаю тем, что это всего лиш определение без объяснений, без методов и средств... хотя в общих чертах!

ну о карме мне сказать нечего! :mega_shok:

если я как-то не так спросил или не донёс до вас то, на что хотел бы получить ответ... сорри!
но я повторюсь, что для исключения лишних вопросов я сразу уточнил "Простветите невежду."
  • 0
Что я буду делать в свободный день:
поиграю в самолетики под кроватью,
совершу мелкое хулиганство над печенью,
поищу место под солнцем, накормлю жадные пальцы,
поражу красноречием, пренебрегу приличиями.

Blog - блог о тестировании и не только
------
Светодиоды - интернет-магазин

#13 aaa

aaa

    Активный участник

  • Members
  • PipPip
  • 110 сообщений
  • ФИО:Макеенков Сергей Сергеевич
  • Город:г. Ивантеевка

Отправлено 12 января 2010 - 21:54

затруднение вызывает значение слова "Тестирование безопасности сайтов" и кто, что под этим выражением понимает...

http://www.google.co...ecurity testing
http://www.google.co...ecurity testing


кстати, Альфе всё же спасибо за ссылки :blush:
я просто и не знал и не догадался, что можно поискать инфу по запросу на инглише :mega_shok: её по такому запросу и на русском языке полно, хотя обобщить и разжевать всё же требуется....
  • 0
Что я буду делать в свободный день:
поиграю в самолетики под кроватью,
совершу мелкое хулиганство над печенью,
поищу место под солнцем, накормлю жадные пальцы,
поражу красноречием, пренебрегу приличиями.

Blog - блог о тестировании и не только
------
Светодиоды - интернет-магазин

#14 barancev

barancev

    Администратор

  • Admin
  • PipPipPipPipPipPip
  • 6 871 сообщений
  • ФИО:Алексей Баранцев
  • Город:Россия, Москва


Отправлено 13 января 2010 - 08:00

чем не устраивает, скажем, описание в Википедии?

думаю тем, что это всего лиш определение без объяснений, без методов и средств... хотя в общих чертах!

Хорошо, раз Вам в самом деле Гугл не помог, тогда вот это почитайте, найдёте много слов по которым можно продолжить поиск в Гугле: http://kualitatem.co...rityTesting.pdf

Пришли бы Вы чуть раньше с этим вопросом, я бы Вас на свой семинар пригласил.
Видов уязвимостей я рассматривал немного, но зато там была демонстрация инструментов, из этого становится более понятно, как конкретно работает тестировщик защищенности.
  • 0
Алексей Баранцев
Тренинги для тестировщиков (тестирование производительности, защищенности, тест-дизайн, автоматизация):
Линейка тренингов по Selenium

#15 aaa

aaa

    Активный участник

  • Members
  • PipPip
  • 110 сообщений
  • ФИО:Макеенков Сергей Сергеевич
  • Город:г. Ивантеевка

Отправлено 13 января 2010 - 08:38

чем не устраивает, скажем, описание в Википедии?

думаю тем, что это всего лиш определение без объяснений, без методов и средств... хотя в общих чертах!

Хорошо, раз Вам в самом деле Гугл не помог, тогда вот это почитайте, найдёте много слов по которым можно продолжить поиск в Гугле: http://kualitatem.co...rityTesting.pdf

Пришли бы Вы чуть раньше с этим вопросом, я бы Вас на свой семинар пригласил.
Видов уязвимостей я рассматривал немного, но зато там была демонстрация инструментов, из этого становится более понятно, как конкретно работает тестировщик защищенности.


спасибо!

хотя инглишь запрос в гугл мне помог этим http://www.it4busine.../topic2955.html :)
  • 0
Что я буду делать в свободный день:
поиграю в самолетики под кроватью,
совершу мелкое хулиганство над печенью,
поищу место под солнцем, накормлю жадные пальцы,
поражу красноречием, пренебрегу приличиями.

Blog - блог о тестировании и не только
------
Светодиоды - интернет-магазин

#16 kimandrew

kimandrew

    Новый участник

  • Members
  • Pip
  • 32 сообщений
  • ФИО:Ким Андрей
  • Город:Калининград

Отправлено 28 марта 2013 - 08:30

Немногу оживлю тему. После того как прочитал некоторые статьи про тестирование безопасности сайта.
Понял что есть как минимум 4 проблемных места на которые нужно тестить сайт.
1. XSS атака
2. SQL инъекция
3. DOS атака
4. CSRF атака
Вроде бы более менее с XSS ясно, но тут же вопрос, хочется посмотреть в действии, но не могу найти сайт чтобы проверить. Потому что незнаю как себя поведет защищенный сайт и как не защищенный. Вернее знаю но не видел.
Есть такой ресурс где все это можно вживую проверить???
Есть ли ещё такие проблемные места, которые часто встречаются?
  • 0

#17 owasp

owasp

    Активный участник

  • Members
  • PipPip
  • 87 сообщений

Отправлено 27 апреля 2013 - 18:06

Обратите внимание на текущий сайт.
upd.
Текст основан на материале статьи "Площадка для взлома: головоломки для хакеров" (http://www.xakep.ru/...289/default.asp). Отличается структурой и ссылками.
Уязвимые web-приложения
____________________________________________________
Damn Vulnerable Web App
SQL-инъекции, XSS и многое другое.
Это специальная разработка для обучения и тестирования, а не реальное web-приложение.

GNU GPL v3 (1,3 Мб)

Contact: dvwa@dvwa.co.uk
Website: http://www.dvwa.co.uk
Download: http://sourceforge.net/projects/dvwa/
SVN: http://dvwa.svn.sour...et/svnroot/dvwa
PHP, MySQL
____________________________________________________

Moth​
SQL-инъекции, XSS и многое другое. Реальные приложения (старыми WordPress, Vanilla, ...) и демонстрационные приложения с уязвимостями. Данный проект - тестоавя площадка для w3af (Web Application Attack and Audit Framework, http://w3af.sf.net/).
GNU GPL (416,3 Мб )

WebSite: http://www.bonsai-se...search/moth.php
Download: http://sourceforge.n...3af/files/moth/
VMware (Ubuntu 8.10)​, PHP, Tomcat 6, MySQL
____________________________________________________

OWASP WebGoat
XSS, контроль доступа, безопасность потоков, монипуляция скрытыми полями форм, манипуляция параметрами, утечка сессионных cookies, слепые SQL-инъекции, числовые SQL-инъекции, строковые SQL-инъекции, веб-сервисы, ошибки аутентификации, опасные HTML комментарии, ...
GNU GPL v2 (83 Мб)

Website: https://www.owasp.or...WebGoat_Project
Devel: http://code.google.com/p/webgoat/
Download: http://code.google.c.../downloads/list
Video: http://yehg.net/lab/...ing/webgoat.php
Tomcat, Java, J2EE
____________________________________________________
Butterfly​
Наличие уязвимостей: уязвимости сессий, инъекции данных, ошибки загрузки файлов, межпользовательский доступ, повышение привелегий, удалённое выполнение кода, AJAX уязвимости.
Руководство по устранению ​этих уязвимостей.

(23 Мб, 21.10.2008)

Website: http://sf.net/projec...hebutterflytmp/
Linux, FreeBSD, Apache, PHP, MySQL
____________________________________________________
Securebench​
Подборка из 8-ми реально существующих программ, написанных на Java, используются старые версии: jboard (0.30), blueblog (1.0), webgoat (0.9), blojsom (1.9.6), personalblog (1.2.6), snipsnap (1.0-BETA-1), road2hibernate (2.1.4), pebble (1.6-beta1), roller (0.9.9).
Наличие уязвимостей: SQL-инъекции, XSS, HTTP-склейка, раскрытие путей (Path traversal) и, возможно, ​многие другие.

(105 Мб)

Website: http://suif.stanford...its/securibench
Java, J2EE
____________________________________________________
Mutillidae​
Приложение на PHP, в котором есть все уязвимости OWASP Top 10.
(4,8 Мб)

Website: http://www.irongeek....hp-owasp-top-10
PHP, Apache, MySQL
____________________________________________________
OWASP InsecureWebApp
Apache License v2.0​ (0,7 Мб, 27.01.2005)

Website: https://www.owasp.or...eb_App_Project​
Download: http://sourceforge.n...insecurewebapp/
Java, Tomcat
____________________________________________________

Многие фирмы, выпускающие инструменты автоматичкого поиска уязвимостей веб-приложений серьезно подходят к процессу тестирования этих сканеров. Для тестирования сканеров созданы специальные уязвимые узлы (тестовые площадки), эти площадки наглядно демонстрируют возможности сканера. Если хочется узнать, что говорит определённый сканер, если находит SQL-инъекцию. Или узнать - какие SQL-инъекции сканер находит, а какие нет. То можно использовать эти тестовые площадки.
Эти сайт заточены именно под сканеры, уязвимости на них фиктивные, а не настоящие.

Адрес:​​​​​ http://zero.webappsecurity.com/
Платформа:​​​​​ ASP​
Сканер разработчика​​:​​​​​ HP WebInspect​

Адрес:​​​​ ​ http://demo.testfire.net/
Платформа:​​​​ ASP.NET
Сканер разработчика:​​​​​​ IBM Rational AppScan

Адрес:​ http://testaspnet.vulnweb.com/
Платформа:​ ASP.NET
Сканер разработчика: Acunetix Web Vulnerability Scanner

Адрес:​​ ​ http://testphp.vulnweb.com/
Платформа:​​ PHP
Сканер разработчика:​​ Acunetix Web Vulnerability Scanner

Адрес:​​​ ​ http://testasp.vulnweb.com/
Платформа:​​​ ASP
Сканер разработчика:​​​​​ Acunetix Web Vulnerability Scanner
  • 0

#18 barancev

barancev

    Администратор

  • Admin
  • PipPipPipPipPipPip
  • 6 871 сообщений
  • ФИО:Алексей Баранцев
  • Город:Россия, Москва


Отправлено 29 апреля 2013 - 07:52

Не нужно тренироваться ни на этом сайте, ни на любом другом, не получив на это явного разрешения от его владельца!
Потому что подобные действия подпадают под уголовный кодекс (в УК РФ это "Статья 272. Неправомерный доступ к компьютерной информации").
И не нужно давать советы "потренируйтесь на вот таком сайте", если только вы не являетесь владельцем, потому что подстрекательство к совершению преступления также подпадает под действие УК.

К счастью, есть множество намеренно уязвимых учебных сайтов, где можно потренироваться, не нарушая закон: http://stackoverflow...web-application
  • 0
Алексей Баранцев
Тренинги для тестировщиков (тестирование производительности, защищенности, тест-дизайн, автоматизация):
Линейка тренингов по Selenium

#19 aya

aya

    Постоянный участник

  • Members
  • PipPipPip
  • 246 сообщений
  • Город:Kharkov

Отправлено 02 мая 2013 - 23:17

Немногу оживлю тему. После того как прочитал некоторые статьи про тестирование безопасности сайта.
Понял что есть как минимум 4 проблемных места на которые нужно тестить сайт.
1. XSS атака
2. SQL инъекция
3. DOS атака
4. CSRF атака
Вроде бы более менее с XSS ясно, но тут же вопрос, хочется посмотреть в действии, но не могу найти сайт чтобы проверить. Потому что незнаю как себя поведет защищенный сайт и как не защищенный. Вернее знаю но не видел.
Есть такой ресурс где все это можно вживую проверить???
Есть ли ещё такие проблемные места, которые часто встречаются?

Если еще актуально, могу дать на тестирование безопасности сайт. До 9 мая владелец сайта разрешила делать подобные виды тестирования.
Почта для связи: qainquest@gmail.com
  • 0

#20 aleksey_p

aleksey_p

    Активный участник

  • Members
  • PipPip
  • 107 сообщений
  • ФИО:Алексей

Отправлено 05 июля 2013 - 05:31

Есть ли какой нибудь список тестов на безопасность, или какая нибудь спецификация по которой можно систематизировать и автоматизировать тестирование безопасности веб сайта?Сюда так же включается безопасность веб серверов, веб клиента, и т.д. Спасибо за советы.
  • 0


Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных