Žiniatinklio programų įsiskverbimo bandymo procesas atliekamas siekiant aptikti esamus žiniatinklio programos pažeidžiamumus ir pranešti apie juos. Įvesties patvirtinimas gali būti atliktas analizuojant ir pranešant apie esamas programos problemas, įskaitant kodo vykdymą, SQL įterpimą ir CSRF.
Bu geriausia kokybės užtikrinimo įmonėyra vienas iš efektyviausių būdų išbandyti ir apsaugoti žiniatinklio programas atliekant rimtą procesą. Tai apima kelių skirtingų tipų pažeidžiamumo testų atlikimą.
Žiniatinklio programų įsiskverbimo testavimas yra gyvybiškai svarbus bet kurio skaitmeninio projekto elementas, siekiant užtikrinti, kad būtų išlaikyta darbo kokybė.
Duomenų rinkimas
Šiame etape informaciją apie savo tikslus renkate naudodami viešai prieinamus šaltinius. Tai apima svetaines, duomenų bazes ir programas, kurios priklauso nuo bandomų prievadų ir paslaugų. Surinkę visus šiuos duomenis turėsite išsamų savo tikslų sąrašą, įskaitant visų mūsų darbuotojų vardus ir fizines vietas.
Svarbūs dalykai, į kuriuos reikia atsižvelgti
Naudokite įrankį, žinomą kaip GNU Wget; Šiuo įrankiu siekiama atkurti ir interpretuoti robot.txt failus.
Reikia patikrinti, ar programinė įranga yra naujausia. Ši problema gali turėti įtakos įvairiems techniniams komponentams, pvz., išsamiai duomenų bazės informacijai.
Kiti būdai apima zonų perkėlimą ir atvirkštines DNS užklausas. Taip pat galite naudoti žiniatinklio paieškas, kad išspręstumėte ir surastumėte DNS užklausas.
Šio proceso tikslas – nustatyti programos įėjimo tašką. Tai galima padaryti naudojant įvairius įrankius, tokius kaip WebscarabTemper Data, OWSAP ZAP ir Burp Proxy.
Norėdami atlikti įvairias užduotis, įskaitant pažeidžiamumų katalogų paiešką ir nuskaitymą, naudokite tokius įrankius kaip Nessus ir NMAP.
Naudodami tradicinį pirštų atspaudų ėmimo įrankį, pvz., Amap, Nmap arba TCP/ICMP, galite atlikti įvairias su programos autentifikavimu susijusias užduotis. Tai apima programos naršyklės atpažintų plėtinių ir katalogų tikrinimą.
Autorizacijos testas
Šio proceso tikslas – patikrinti vaidmenų ir privilegijų manipuliavimą, kad būtų galima pasiekti žiniatinklio programos išteklius. Analizuojant prisijungimo patvirtinimo funkcijas žiniatinklio programoje, galima atlikti kelio perėjimus.
Pavyzdžiui, interneto voras Patikrinkite, ar slapukai ir parametrai tinkamai nustatyti jų įrankiuose. Taip pat patikrinkite, ar leidžiama neteisėta prieiga prie rezervuotų išteklių.
Autentifikavimo testas
Jei programa atsijungia po tam tikro laiko, seansą galima naudoti dar kartą. Taip pat programa gali automatiškai pašalinti vartotoją iš neaktyvios būsenos.
Socialinės inžinerijos metodai gali būti naudojami norint iš naujo nustatyti slaptažodį, nulaužant prisijungimo puslapio kodą. Jei buvo įdiegtas „prisiminti mano slaptažodį“ mechanizmas, šis metodas leis lengvai prisiminti slaptažodį.
Jei aparatūros įrenginiai yra prijungti prie išorinio ryšio kanalo, jie gali savarankiškai bendrauti su autentifikavimo infrastruktūra. Taip pat patikrinkite, ar pateikti saugumo klausimai ir atsakymai yra teisingi.
Sėkmingas SQL injekcijagali prarasti klientų pasitikėjimą. Taip pat gali būti pavogti neskelbtini duomenys, pvz., kredito kortelės informacija. Kad to išvengtumėte, žiniatinklio programos ugniasienė turėtų būti įdėta į saugų tinklą.
Patvirtinimo duomenų testas
JavaScript kodo analizė atliekama vykdant įvairius testus, siekiant aptikti klaidas šaltinio kode. Tai apima akląjį SQL injekcijos testavimą ir „Union Query“ testavimą. Taip pat galite naudoti tokius įrankius kaip „sqldumper“, „power Injector“ ir „sqlninja“, kad atliktumėte šiuos bandymus.
Norėdami analizuoti ir išbandyti saugomą XSS, naudokite tokius įrankius kaip Backframe, ZAP ir XSS Helper. Taip pat įvairiais metodais išbandykite neskelbtiną informaciją.
Tvarkykite Backend Mail serverį naudodami įdiegimo techniką. Išbandykite XPath ir SMTP injekcijos metodus, kad pasiektumėte konfidencialią informaciją, saugomą serveryje. Taip pat atlikite kodo įdėjimo testą, kad nustatytumėte įvesties tikrinimo klaidas.
Išbandykite įvairius programos valdymo srauto aspektus ir kaupkite atminties informaciją naudodami buferio perpildymą. Pavyzdžiui, slapukų padalijimas ir interneto srauto užgrobimas.
Valdymo konfigūracijos testas
Žr. savo programos ir serverio dokumentaciją. Taip pat įsitikinkite, kad infrastruktūra ir administratoriaus sąsajos veikia tinkamai. Įsitikinkite, kad vis dar egzistuoja senesnės dokumentacijos versijos ir jose turi būti jūsų programinės įrangos šaltinio kodai, slaptažodžiai ir diegimo keliai.
Netcat ir Telnet naudojimas HTTP Patikrinkite metodų įgyvendinimo parinktis. Be to, patikrinkite naudotojų kredencialus tiems, kurie turi teisę naudoti šiuos metodus. Norėdami peržiūrėti šaltinio kodą ir žurnalo failus, atlikite konfigūracijos valdymo testą.
sprendimas
Tikimasi, kad dirbtinis intelektas (AI) atliks gyvybiškai svarbų vaidmenį gerinant įsiskverbimo testų efektyvumą ir tikslumą, nes rašiklius tikrinantys asmenys galės atlikti veiksmingesnius vertinimus. Tačiau svarbu atsiminti, kad priimdami pagrįstus sprendimus jie vis tiek turi pasikliauti savo žiniomis ir patirtimi.
Būkite pirmas, kuris komentuoja