针对 PHP 个安全漏洞的渗透测试
Penetration testing for PHP security vulnerabilities
我正在做关于 "Identifying and Testing security vulnerabilities in websites" 的本科生研究论文。最初我想我会像我在方法中指定的那样手动测试,我只会测试少数选定的漏洞,即 SQL 注入、跨站点脚本、错误报告、会话劫持和输入验证。但随着我继续研究,我发现所有文章和教程都推荐了软件。
我朋友管理的网站很少,所以我想在他们的网站上进行测试。我正在检查六个网站上的一些漏洞。我应该使用渗透测试工具还是不使用软件进行动态渗透测试?
这一切都归结为你想要什么;您可以使用 Burp Suite,这是一个很棒的手动渗透测试工具,具有良好的社区和在线资源,可让您有效地执行渗透测试。
您可能想尝试自动 Web 应用程序扫描器,例如 Acunetix Web 漏洞扫描器,它还带有手动渗透测试工具以及自动抓取和扫描站点(这在 IMO 中非常有用)。他们还提供 14 天的免费试用,这应该足以满足您的需求。
我一直认为渗透测试应该从上面提到的自动化软件工具开始,并通过手动干预来加强,以确保您有效地测试了应用程序。
没有正确或错误的方法,但上述方法是许多人选择的方法。您可能还想阅读 Dafydd Stuttard 和 Marcus Pinto 合着的黑客手册。这很好地概述了 Web 应用程序、如何渗透它们以及如何保护它们。
我个人喜欢和推荐的 web 漏洞扫描器是 Punk Spider scanner。它检测 XSS,SQL 注入,SQLI 漏洞,配置不当的 PHP 代码,弱身份验证系统等等。
我正在做关于 "Identifying and Testing security vulnerabilities in websites" 的本科生研究论文。最初我想我会像我在方法中指定的那样手动测试,我只会测试少数选定的漏洞,即 SQL 注入、跨站点脚本、错误报告、会话劫持和输入验证。但随着我继续研究,我发现所有文章和教程都推荐了软件。
我朋友管理的网站很少,所以我想在他们的网站上进行测试。我正在检查六个网站上的一些漏洞。我应该使用渗透测试工具还是不使用软件进行动态渗透测试?
这一切都归结为你想要什么;您可以使用 Burp Suite,这是一个很棒的手动渗透测试工具,具有良好的社区和在线资源,可让您有效地执行渗透测试。
您可能想尝试自动 Web 应用程序扫描器,例如 Acunetix Web 漏洞扫描器,它还带有手动渗透测试工具以及自动抓取和扫描站点(这在 IMO 中非常有用)。他们还提供 14 天的免费试用,这应该足以满足您的需求。
我一直认为渗透测试应该从上面提到的自动化软件工具开始,并通过手动干预来加强,以确保您有效地测试了应用程序。
没有正确或错误的方法,但上述方法是许多人选择的方法。您可能还想阅读 Dafydd Stuttard 和 Marcus Pinto 合着的黑客手册。这很好地概述了 Web 应用程序、如何渗透它们以及如何保护它们。
我个人喜欢和推荐的 web 漏洞扫描器是 Punk Spider scanner。它检测 XSS,SQL 注入,SQLI 漏洞,配置不当的 PHP 代码,弱身份验证系统等等。