Proces testiranja penetracije web aplikacije se izvodi kako bi se otkrile i prijavile postojeće ranjivosti u web aplikaciji. Validacija ulaza može se postići analizom i prijavljivanjem postojećih problema u aplikaciji, uključujući izvršenje koda, SQL injekciju i CSRF.
Bu najbolja QA kompanijaima jedan od najefikasnijih načina testiranja i osiguranja web aplikacija uz ozbiljan proces. Ovo uključuje izvođenje višestrukih testova na različitim vrstama ranjivosti.
Testiranje penetracije web aplikacija je vitalni element svakog digitalnog projekta kako bi se osiguralo održavanje kvaliteta rada.
Prikupljanje podataka
U ovoj fazi prikupljate informacije o svojim ciljevima koristeći javno dostupne izvore. To uključuje web stranice, baze podataka i aplikacije koje ovise o portovima i uslugama koje testirate. Nakon prikupljanja svih ovih podataka, imat ćete opsežnu listu vaših ciljeva, uključujući imena i fizičke lokacije svih naših zaposlenika.
Važne tačke koje treba uzeti u obzir
Koristite alat poznat kao GNU Wget; Ovaj alat ima za cilj oporaviti i interpretirati robot.txt datoteke.
Potrebno je provjeriti da li softver ima najnoviju verziju. Ovaj problem može uticati na različite tehničke komponente kao što su detalji baze podataka.
Ostale tehnike uključuju prijenos zona i obrnuti DNS upite. Također možete koristiti web-bazirane pretrage za rješavanje i lociranje DNS upita.
Svrha ovog procesa je identificirati ulaznu tačku aplikacije. Ovo se može postići korištenjem različitih alata kao što su WebscarabTemper Data, OWSAP ZAP i Burp Proxy.
Koristite alate kao što su Nessus i NMAP za obavljanje različitih zadataka, uključujući pretraživanje i skeniranje direktorija za ranjivosti.
Koristeći tradicionalni alat za otisak prsta kao što je Amap, Nmap ili TCP/ICMP, možete obavljati različite zadatke vezane za autentifikaciju aplikacije. To uključuje provjeru ekstenzija i direktorija koje prepoznaje pretraživač aplikacije.
Autorizacijski test
Svrha ovog procesa je testirati manipulaciju ulogama i privilegijama za pristup resursima web aplikacije. Analiza funkcija provjere valjanosti prijave u web aplikaciji omogućava vam da izvršite tranzicije putanje.
Na primjer, web spider Testirajte da li su kolačići i parametri ispravno postavljeni u njihovim alatima. Također provjerite da li je dozvoljen neovlašteni pristup rezerviranim resursima.
Test autentifikacije
Ako se aplikacija odjavi nakon određenog vremena, moguće je ponovo koristiti sesiju. Također je moguće da aplikacija automatski ukloni korisnika iz stanja mirovanja.
Tehnike društvenog inženjeringa mogu se koristiti za pokušaj resetiranja lozinke probijanjem koda stranice za prijavu. Ako je implementiran mehanizam "zapamti moju lozinku", ovaj metod će vam omogućiti da lako zapamtite svoju lozinku.
Ako su hardverski uređaji povezani na eksterni komunikacioni kanal, oni mogu nezavisno komunicirati sa infrastrukturom za autentifikaciju. Također, provjerite da li su prikazana sigurnosna pitanja i odgovori tačni.
Uspešan SQL injekcijamože dovesti do gubitka povjerenja kupaca. To također može dovesti do krađe osjetljivih podataka kao što su podaci o kreditnoj kartici. Da biste to spriječili, zaštitni zid web aplikacije treba postaviti na sigurnu mrežu.
Test validacije podataka
Analiza JavaScript koda se izvodi pokretanjem različitih testova za otkrivanje grešaka u izvornom kodu. To uključuje slijepo testiranje SQL injekcije i testiranje Union Queryja. Također možete koristiti alate kao što su sqldumper, power injector i sqlninja za izvođenje ovih testova.
Koristite alate kao što su Backframe, ZAP i XSS Helper da analizirate i testirate pohranjeni XSS. Također, testirajte osjetljive informacije koristeći različite metode.
Upravljajte Backend Mail serverom koristeći onboarding tehniku. Testirajte XPath i SMTP tehnike ubrizgavanja za pristup povjerljivim informacijama pohranjenim na serveru. Također, uradite testiranje ugrađivanja koda kako biste identificirali greške u provjeri valjanosti unosa.
Testirajte različite aspekte toka kontrole aplikacije i informacija o memoriji steka koristeći prekoračenje međuspremnika. Na primjer, dijeljenje kolačića i otmica web prometa.
Test konfiguracije upravljanja
Pogledajte dokumentaciju za vašu aplikaciju i server. Također provjerite da li infrastruktura i interfejs administratora rade ispravno. Uvjerite se da starije verzije dokumentacije i dalje postoje i da bi trebale sadržavati izvorne kodove vašeg softvera, lozinke i instalacijske staze.
Koristeći Netcat i Telnet HTTP Provjerite opcije za implementaciju metoda. Također, testirajte vjerodajnice korisnika za one ovlaštene da koriste ove metode. Izvršite test upravljanja konfiguracijom da pregledate izvorni kod i datoteke dnevnika.
rastvor
Očekuje se da će umjetna inteligencija (AI) igrati vitalnu ulogu u poboljšanju efikasnosti i tačnosti penetracijskog testiranja omogućavajući testerima olovke da vrše efikasnije procjene. Međutim, važno je zapamtiti da se i dalje moraju osloniti na svoje znanje i iskustvo kako bi donosili informirane odluke.
Budite prvi koji će komentirati