• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Как грамотно сделать полное тестирование сайта ?

OBLIVIONNN

Well-known member
22.08.2017
141
85
#1
Вопрос вот в чем, к примеру я создал сайт на Wordpress, Joomla или вообще на самописной админке. И теперь стоит вопрос проверить сайт на различные уязвимости, черный код и т.д. Что бы злоумышленник не смог взломать админку, ни базу данных, ни навредить клиентам.
Какие вообще существую методы, и вообще какие шаги предпринимать для проверки и тестирование Веб Приложений на профессиональном уровне ?
Можете дать ссылку на разные источники, или написать свой опыт ?
 
29.10.2017
7
6
#2
Для базовой проверки работаем в таком порядке:
1. Если есть доступ к коду, то сначала анализируем его, ищем потенциально небезопасные места. Потом в ручном режиме проверяем эти "подозрительные" участки... Если их много пишем fuzzer...
2. Nmap
3. Nikto
4. Burp-suite
5. Сканеры уязвимостей для CMS (WPscan)
 
31.03.2017
24
3
#4
Можно тут глянуть топ 10 популярных дыр
Для просмотра контента необходимо: Войти или зарегистрироваться

Пройтись акунетикс триалом будет хорошей идеей тк ты будешь примерно знать, где именно у тебя может быть ошибка
У сулфы был пост с методологиями на буржуйском, но я думаю тебе как админу будет впадлу разбираться там

Но по идее, качествый и профессиональный пентест может провести только качественный профессионал
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Gold Team
19.10.2016
737
2 747
#5
Пошлю ка я вас всего на два сайта:
1) Методология тестирования веб аппликаций OWASP OWASP Testing Guide v4 Table of Contents - OWASP
2)Общепринятая методология тестирования на проникновения , более глобальный пентест который затрагивает и пентест инфраструктуры.
Для просмотра контента необходимо: Войти или зарегистрироваться


Хотя если речь идет о ручном тестировании сайта на предмет уязвизмостей , и вы не хотите тратится на пентест - 1-й методологии вам должно хватить с головой. Только нужно пройти по каждому пункту.
 
09.12.2016
87
128
#6
Вопрос вот в чем, к примеру я создал сайт на Wordpress, Joomla или вообще на самописной админке. И теперь стоит вопрос проверить сайт на различные уязвимости, черный код и т.д. Что бы злоумышленник не смог взломать админку, ни базу данных, ни навредить клиентам.
Какие вообще существую методы, и вообще какие шаги предпринимать для проверки и тестирование Веб Приложений на профессиональном уровне ?
Можете дать ссылку на разные источники, или написать свой опыт ?
что-бы не смог,надо самому заказать свой сайт на взлом))) тогда точно проверишь так как у всех разные векторы атак и фичи...сам ты не когда все не проверишь на больших ресурсах есть такие разделы на пример на exp да думаю и тут стоит сделать такой раздел
Для просмотра контента необходимо: Войти или зарегистрироваться
..
 
Вверх Снизу