• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Как грамотно сделать полное тестирование сайта ?

O

OBLIVIONNN

Green Team
22.08.2017
144
92
BIT
1
Вопрос вот в чем, к примеру я создал сайт на Wordpress, Joomla или вообще на самописной админке. И теперь стоит вопрос проверить сайт на различные уязвимости, черный код и т.д. Что бы злоумышленник не смог взломать админку, ни базу данных, ни навредить клиентам.
Какие вообще существую методы, и вообще какие шаги предпринимать для проверки и тестирование Веб Приложений на профессиональном уровне ?
Можете дать ссылку на разные источники, или написать свой опыт ?
 
M

MadRat

Для базовой проверки работаем в таком порядке:
1. Если есть доступ к коду, то сначала анализируем его, ищем потенциально небезопасные места. Потом в ручном режиме проверяем эти "подозрительные" участки... Если их много пишем fuzzer...
2. Nmap
3. Nikto
4. Burp-suite
5. Сканеры уязвимостей для CMS (WPscan)
 
  • Нравится
Реакции: OBLIVIONNN
F

fdgdfgrgfgdf

Green Team
31.03.2017
23
4
BIT
0
Можно тут глянуть топ 10 популярных дыр OWASP Top 10 2017 RC
Пройтись акунетикс триалом будет хорошей идеей тк ты будешь примерно знать, где именно у тебя может быть ошибка
У сулфы был пост с методологиями на буржуйском, но я думаю тебе как админу будет впадлу разбираться там

Но по идее, качествый и профессиональный пентест может провести только качественный профессионал
 
  • Нравится
Реакции: OBLIVIONNN
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
Пошлю ка я вас всего на два сайта:
1) Методология тестирования веб аппликаций OWASP
Ссылка скрыта от гостей

2)Общепринятая методология тестирования на проникновения , более глобальный пентест который затрагивает и пентест инфраструктуры.
Ссылка скрыта от гостей


Хотя если речь идет о ручном тестировании сайта на предмет уязвизмостей , и вы не хотите тратится на пентест - 1-й методологии вам должно хватить с головой. Только нужно пройти по каждому пункту.
 
  • Нравится
Реакции: batu5ai, Underwood, OBLIVIONNN и ещё 3
☠xrahitel☠

☠xrahitel☠

Grey Team
09.12.2016
240
305
BIT
40
OBLIVIONNN сказал(а):
Вопрос вот в чем, к примеру я создал сайт на Wordpress, Joomla или вообще на самописной админке. И теперь стоит вопрос проверить сайт на различные уязвимости, черный код и т.д. Что бы злоумышленник не смог взломать админку, ни базу данных, ни навредить клиентам.
Какие вообще существую методы, и вообще какие шаги предпринимать для проверки и тестирование Веб Приложений на профессиональном уровне ?
Можете дать ссылку на разные источники, или написать свой опыт ?
Нажмите, чтобы раскрыть...
что-бы не смог,надо самому заказать свой сайт на взлом))) тогда точно проверишь так как у всех разные векторы атак и фичи...сам ты не когда все не проверишь на больших ресурсах есть такие разделы на пример на exp да думаю и тут стоит сделать такой раздел
Ссылка скрыта от гостей
..
 
  • Нравится
Реакции: <~DarkNode~> и OBLIVIONNN
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ