Тестирование безопасности сайтов. Простветите невежду.
#1
Отправлено 11 января 2010 - 07:39
Если можно давайте после определения термина поговорим и способах и методах, хотя бы о их названиях :)
поиграю в самолетики под кроватью,
совершу мелкое хулиганство над печенью,
поищу место под солнцем, накормлю жадные пальцы,
поражу красноречием, пренебрегу приличиями.
Blog - блог о тестировании и не только
------
Светодиоды - интернет-магазин
#3
Отправлено 12 января 2010 - 07:32
#4
Отправлено 12 января 2010 - 09:31
а какое из этих трех слов вызывает затруднения?"Тестирование безопасности сайтов"
затруднение вызывает значение слова "Тестирование безопасности сайтов" и кто, что под этим выражением понимает...
поиграю в самолетики под кроватью,
совершу мелкое хулиганство над печенью,
поищу место под солнцем, накормлю жадные пальцы,
поражу красноречием, пренебрегу приличиями.
Blog - блог о тестировании и не только
------
Светодиоды - интернет-магазин
#5
Отправлено 12 января 2010 - 10:36
http://www.google.co...ecurity testingзатруднение вызывает значение слова "Тестирование безопасности сайтов" и кто, что под этим выражением понимает...
http://www.google.co...ecurity testing
Чубака — это вуки с планеты Киши, но живет Чубака на планете Эндо, а теперь вдумайтесь:
в этом же нет смысла. С какой стати Чубаке, вуки высотой два с половиной метра,
жить среди эвоков, которые чуть выше полуметра. В этом нет абсолютно никакого смысла.
#6
Отправлено 12 января 2010 - 14:18
#7
Отправлено 12 января 2010 - 14:46
http://www.google.co...ecurity testingзатруднение вызывает значение слова "Тестирование безопасности сайтов" и кто, что под этим выражением понимает...
http://www.google.co...ecurity testing
какие же интересные здесь и общительные люди собираются....
как вы думаете Альфа, откуда берёться результаты Гугла?! Видимо из таких форумов и тем как эта... Так откуда взяться результатам, если все и всегда будут посылать за ответом в Гугл!
я понимаю, что на любой по сути впорос можно отправить в Гугл, но мне не нужно миллион ссылок, мне нужны ответы людей которые этим занимаются, занимались... что они делали более подробно... что в том или ином контексте понимается под обозначенным мной выражением!
Спасибо за внимание, господа, доброжелатели, специалисты!
поиграю в самолетики под кроватью,
совершу мелкое хулиганство над печенью,
поищу место под солнцем, накормлю жадные пальцы,
поражу красноречием, пренебрегу приличиями.
Blog - блог о тестировании и не только
------
Светодиоды - интернет-магазин
#8
Отправлено 12 января 2010 - 16:07
Так Вас же переспросили:я понимаю, что на любой по сути впорос можно отправить в Гугл, но мне не нужно миллион ссылок, мне нужны ответы людей которые этим занимаются, занимались... что они делали более подробно... что в том или ином контексте понимается под обозначенным мной выражением!
поверьте это было неспроста. Вам хотели помочь, но Вы не дали такой возможности, повторив вопрос без уточнения формулировки. Остался единственно верный (ИМХО) вариант ответа — гугл. Вы его и получили.а какое из этих трех слов вызывает затруднения?
После данного уточнения Ваш вопрос стал чуть более понятен, но если Вы хотите получить тот ответ, который Вам поможет, Вам следует еще больше уточнить вопрос.
Чубака — это вуки с планеты Киши, но живет Чубака на планете Эндо, а теперь вдумайтесь:
в этом же нет смысла. С какой стати Чубаке, вуки высотой два с половиной метра,
жить среди эвоков, которые чуть выше полуметра. В этом нет абсолютно никакого смысла.
#9
Отправлено 12 января 2010 - 16:09
Т.е. только вы можете позволить себе лениться, при этом что-то требуя от незнакомых вам людей?http://www.google.co...ecurity testingзатруднение вызывает значение слова "Тестирование безопасности сайтов" и кто, что под этим выражением понимает...
http://www.google.co...ecurity testing
какие же интересные здесь и общительные люди собираются....
как вы думаете Альфа, откуда берёться результаты Гугла?! Видимо из таких форумов и тем как эта... Так откуда взяться результатам, если все и всегда будут посылать за ответом в Гугл!
я понимаю, что на любой по сути впорос можно отправить в Гугл, но мне не нужно миллион ссылок, мне нужны ответы людей которые этим занимаются, занимались... что они делали более подробно... что в том или ином контексте понимается под обозначенным мной выражением!
Спасибо за внимание, господа, доброжелатели, специалисты!
#10
Отправлено 12 января 2010 - 18:32
Я бы даже более конкретно поставил вопрос об уточнении -- чем не устраивает, скажем, описание в Википедии?После данного уточнения Ваш вопрос стал чуть более понятен, но если Вы хотите получить тот ответ, который Вам поможет, Вам следует еще больше уточнить вопрос.
Тренинги для тестировщиков (тестирование производительности, защищенности, тест-дизайн, автоматизация):
Линейка тренингов по Selenium
#11
Отправлено 12 января 2010 - 20:09
Поясню про интерес и общение.какие же интересные здесь и общительные люди собираются....
У вас проблемы с орфографией. -100 в карму тестировщика.
Вы не смогли проанализировать ответ гугла. -200 в карму тестировщика.
У вас не возникло ни одного конкретного вопроса по теме. Это обозначает, как правило, что спрашивающий вообще не пытался разобраться, но "я б тестировщиком стал, пусть меня научат".
С таким подходом вам стоит обратить внимание на платные тренинги по тестированию безопасности сайтов. Либо подумать о смене профессии.
#12
Отправлено 12 января 2010 - 21:13
Поясню про интерес и общение.какие же интересные здесь и общительные люди собираются....
У вас проблемы с орфографией. -100 в карму тестировщика.
Вы не смогли проанализировать ответ гугла. -200 в карму тестировщика.
У вас не возникло ни одного конкретного вопроса по теме. Это обозначает, как правило, что спрашивающий вообще не пытался разобраться, но "я б тестировщиком стал, пусть меня научат".
С таким подходом вам стоит обратить внимание на платные тренинги по тестированию безопасности сайтов. Либо подумать о смене профессии.
Ещё раз спасибо...
"Всем по + в карму"
да кто угодно может лениться :) мне не жалко!Т.е. только вы можете позволить себе лениться, при этом что-то требуя от незнакомых вам людей?
я спросил так потому, что реально мало, что понимаю в этой теме... и об этом сразу явно указал в названии темы!поверьте это было неспроста
думаю тем, что это всего лиш определение без объяснений, без методов и средств... хотя в общих чертах!чем не устраивает, скажем, описание в Википедии?
ну о карме мне сказать нечего!
если я как-то не так спросил или не донёс до вас то, на что хотел бы получить ответ... сорри!
но я повторюсь, что для исключения лишних вопросов я сразу уточнил "Простветите невежду."
поиграю в самолетики под кроватью,
совершу мелкое хулиганство над печенью,
поищу место под солнцем, накормлю жадные пальцы,
поражу красноречием, пренебрегу приличиями.
Blog - блог о тестировании и не только
------
Светодиоды - интернет-магазин
#13
Отправлено 12 января 2010 - 21:54
http://www.google.co...ecurity testingзатруднение вызывает значение слова "Тестирование безопасности сайтов" и кто, что под этим выражением понимает...
http://www.google.co...ecurity testing
кстати, Альфе всё же спасибо за ссылки
я просто и не знал и не догадался, что можно поискать инфу по запросу на инглише её по такому запросу и на русском языке полно, хотя обобщить и разжевать всё же требуется....
поиграю в самолетики под кроватью,
совершу мелкое хулиганство над печенью,
поищу место под солнцем, накормлю жадные пальцы,
поражу красноречием, пренебрегу приличиями.
Blog - блог о тестировании и не только
------
Светодиоды - интернет-магазин
#14
Отправлено 13 января 2010 - 08:00
Хорошо, раз Вам в самом деле Гугл не помог, тогда вот это почитайте, найдёте много слов по которым можно продолжить поиск в Гугле: http://kualitatem.co...rityTesting.pdfдумаю тем, что это всего лиш определение без объяснений, без методов и средств... хотя в общих чертах!чем не устраивает, скажем, описание в Википедии?
Пришли бы Вы чуть раньше с этим вопросом, я бы Вас на свой семинар пригласил.
Видов уязвимостей я рассматривал немного, но зато там была демонстрация инструментов, из этого становится более понятно, как конкретно работает тестировщик защищенности.
Тренинги для тестировщиков (тестирование производительности, защищенности, тест-дизайн, автоматизация):
Линейка тренингов по Selenium
#15
Отправлено 13 января 2010 - 08:38
Хорошо, раз Вам в самом деле Гугл не помог, тогда вот это почитайте, найдёте много слов по которым можно продолжить поиск в Гугле: http://kualitatem.co...rityTesting.pdfдумаю тем, что это всего лиш определение без объяснений, без методов и средств... хотя в общих чертах!чем не устраивает, скажем, описание в Википедии?
Пришли бы Вы чуть раньше с этим вопросом, я бы Вас на свой семинар пригласил.
Видов уязвимостей я рассматривал немного, но зато там была демонстрация инструментов, из этого становится более понятно, как конкретно работает тестировщик защищенности.
спасибо!
хотя инглишь запрос в гугл мне помог этим http://www.it4busine.../topic2955.html :)
поиграю в самолетики под кроватью,
совершу мелкое хулиганство над печенью,
поищу место под солнцем, накормлю жадные пальцы,
поражу красноречием, пренебрегу приличиями.
Blog - блог о тестировании и не только
------
Светодиоды - интернет-магазин
#16
Отправлено 28 марта 2013 - 08:30
Понял что есть как минимум 4 проблемных места на которые нужно тестить сайт.
1. XSS атака
2. SQL инъекция
3. DOS атака
4. CSRF атака
Вроде бы более менее с XSS ясно, но тут же вопрос, хочется посмотреть в действии, но не могу найти сайт чтобы проверить. Потому что незнаю как себя поведет защищенный сайт и как не защищенный. Вернее знаю но не видел.
Есть такой ресурс где все это можно вживую проверить???
Есть ли ещё такие проблемные места, которые часто встречаются?
#17
Отправлено 27 апреля 2013 - 18:06
upd.
Текст основан на материале статьи "Площадка для взлома: головоломки для хакеров" (http://www.xakep.ru/...289/default.asp). Отличается структурой и ссылками.
Уязвимые web-приложения
____________________________________________________
Damn Vulnerable Web App
SQL-инъекции, XSS и многое другое.
Это специальная разработка для обучения и тестирования, а не реальное web-приложение.
GNU GPL v3 (1,3 Мб)
Contact: dvwa@dvwa.co.uk
Website: http://www.dvwa.co.uk
Download: http://sourceforge.net/projects/dvwa/
SVN: http://dvwa.svn.sour...et/svnroot/dvwa
PHP, MySQL
____________________________________________________
Moth
SQL-инъекции, XSS и многое другое. Реальные приложения (старыми WordPress, Vanilla, ...) и демонстрационные приложения с уязвимостями. Данный проект - тестоавя площадка для w3af (Web Application Attack and Audit Framework, http://w3af.sf.net/).
GNU GPL (416,3 Мб )
WebSite: http://www.bonsai-se...search/moth.php
Download: http://sourceforge.n...3af/files/moth/
VMware (Ubuntu 8.10), PHP, Tomcat 6, MySQL
____________________________________________________
OWASP WebGoat
XSS, контроль доступа, безопасность потоков, монипуляция скрытыми полями форм, манипуляция параметрами, утечка сессионных cookies, слепые SQL-инъекции, числовые SQL-инъекции, строковые SQL-инъекции, веб-сервисы, ошибки аутентификации, опасные HTML комментарии, ...
GNU GPL v2 (83 Мб)
Website: https://www.owasp.or...WebGoat_Project
Devel: http://code.google.com/p/webgoat/
Download: http://code.google.c.../downloads/list
Video: http://yehg.net/lab/...ing/webgoat.php
Tomcat, Java, J2EE
____________________________________________________
Butterfly
Наличие уязвимостей: уязвимости сессий, инъекции данных, ошибки загрузки файлов, межпользовательский доступ, повышение привелегий, удалённое выполнение кода, AJAX уязвимости.
Руководство по устранению этих уязвимостей.
(23 Мб, 21.10.2008)
Website: http://sf.net/projec...hebutterflytmp/
Linux, FreeBSD, Apache, PHP, MySQL
____________________________________________________
Securebench
Подборка из 8-ми реально существующих программ, написанных на Java, используются старые версии: jboard (0.30), blueblog (1.0), webgoat (0.9), blojsom (1.9.6), personalblog (1.2.6), snipsnap (1.0-BETA-1), road2hibernate (2.1.4), pebble (1.6-beta1), roller (0.9.9).
Наличие уязвимостей: SQL-инъекции, XSS, HTTP-склейка, раскрытие путей (Path traversal) и, возможно, многие другие.
(105 Мб)
Website: http://suif.stanford...its/securibench
Java, J2EE
____________________________________________________
Mutillidae
Приложение на PHP, в котором есть все уязвимости OWASP Top 10.
(4,8 Мб)
Website: http://www.irongeek....hp-owasp-top-10
PHP, Apache, MySQL
____________________________________________________
OWASP InsecureWebApp
Apache License v2.0 (0,7 Мб, 27.01.2005)
Website: https://www.owasp.or...eb_App_Project
Download: http://sourceforge.n...insecurewebapp/
Java, Tomcat
____________________________________________________
Многие фирмы, выпускающие инструменты автоматичкого поиска уязвимостей веб-приложений серьезно подходят к процессу тестирования этих сканеров. Для тестирования сканеров созданы специальные уязвимые узлы (тестовые площадки), эти площадки наглядно демонстрируют возможности сканера. Если хочется узнать, что говорит определённый сканер, если находит SQL-инъекцию. Или узнать - какие SQL-инъекции сканер находит, а какие нет. То можно использовать эти тестовые площадки.
Эти сайт заточены именно под сканеры, уязвимости на них фиктивные, а не настоящие.
Адрес: http://zero.webappsecurity.com/
Платформа: ASP
Сканер разработчика: HP WebInspect
Адрес: http://demo.testfire.net/
Платформа: ASP.NET
Сканер разработчика: IBM Rational AppScan
Адрес: http://testaspnet.vulnweb.com/
Платформа: ASP.NET
Сканер разработчика: Acunetix Web Vulnerability Scanner
Адрес: http://testphp.vulnweb.com/
Платформа: PHP
Сканер разработчика: Acunetix Web Vulnerability Scanner
Адрес: http://testasp.vulnweb.com/
Платформа: ASP
Сканер разработчика: Acunetix Web Vulnerability Scanner
#18
Отправлено 29 апреля 2013 - 07:52
Потому что подобные действия подпадают под уголовный кодекс (в УК РФ это "Статья 272. Неправомерный доступ к компьютерной информации").
И не нужно давать советы "потренируйтесь на вот таком сайте", если только вы не являетесь владельцем, потому что подстрекательство к совершению преступления также подпадает под действие УК.
К счастью, есть множество намеренно уязвимых учебных сайтов, где можно потренироваться, не нарушая закон: http://stackoverflow...web-application
Тренинги для тестировщиков (тестирование производительности, защищенности, тест-дизайн, автоматизация):
Линейка тренингов по Selenium
#19
Отправлено 02 мая 2013 - 23:17
Если еще актуально, могу дать на тестирование безопасности сайт. До 9 мая владелец сайта разрешила делать подобные виды тестирования.Немногу оживлю тему. После того как прочитал некоторые статьи про тестирование безопасности сайта.
Понял что есть как минимум 4 проблемных места на которые нужно тестить сайт.
1. XSS атака
2. SQL инъекция
3. DOS атака
4. CSRF атака
Вроде бы более менее с XSS ясно, но тут же вопрос, хочется посмотреть в действии, но не могу найти сайт чтобы проверить. Потому что незнаю как себя поведет защищенный сайт и как не защищенный. Вернее знаю но не видел.
Есть такой ресурс где все это можно вживую проверить???
Есть ли ещё такие проблемные места, которые часто встречаются?
Почта для связи: qainquest@gmail.com
#20
Отправлено 05 июля 2013 - 05:31
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 анонимных