如何对微服务进行渗透测试/安全测试?
How to do Pen testing / Security testing on Microservices?
想要针对安全要求测试微服务并做了一些 google 并发现了一些不错的博客,例如 URL:https://www.imbalife.com/sql-injection。
Eg.SQL 注入漏洞 Dorks。
inurl:index.php?id=
如何测试 URL 是否没有任何 PHP 内容。并检查漏洞。
我是这个安全测试领域的新手。请帮助我。
谢谢
即使是另一种技术,也是同一个概念。
想法是测试系统中的多个漏洞。通常您会想要测试和控制应用程序中的所有输入。最严重的漏洞是代码注入攻击(SQL、命令、客户端代码等),也不排除许多其他漏洞。
您还需要测试逻辑安全漏洞,例如某些应用程序功能是否未正确实现(例如 Authentication/Authorization 机制,包括用户密码恢复或帐户注册等)
我强烈建议您浏览 OWASP Top 10 列表并查看他们的最佳安全编码实践指南以及如何避免和防止此类攻击。考虑到您提到了对微服务的测试,我认为它们是某种 REST API 然后更多地关注 API 安全问题。
想要针对安全要求测试微服务并做了一些 google 并发现了一些不错的博客,例如 URL:https://www.imbalife.com/sql-injection。
Eg.SQL 注入漏洞 Dorks。 inurl:index.php?id=
如何测试 URL 是否没有任何 PHP 内容。并检查漏洞。
我是这个安全测试领域的新手。请帮助我。
谢谢
即使是另一种技术,也是同一个概念。
想法是测试系统中的多个漏洞。通常您会想要测试和控制应用程序中的所有输入。最严重的漏洞是代码注入攻击(SQL、命令、客户端代码等),也不排除许多其他漏洞。 您还需要测试逻辑安全漏洞,例如某些应用程序功能是否未正确实现(例如 Authentication/Authorization 机制,包括用户密码恢复或帐户注册等)
我强烈建议您浏览 OWASP Top 10 列表并查看他们的最佳安全编码实践指南以及如何避免和防止此类攻击。考虑到您提到了对微服务的测试,我认为它们是某种 REST API 然后更多地关注 API 安全问题。