試験のウェブセキュリティ

Question

ご体験いうか、又は遭遇したのサイトの脆弱性?何か行動したかを軽減します。

この場合XSS(クロスサイトスクリプティング)、SQLインジェクション攻撃の平旧DDOSまたはフィッシングの試みサイトのおります。昨日のように私は全体のFirefoxツールのための監査サイトとその可能性を様々な脆弱性があります。

事業の拡大を目指私の知る限りこの地域的に、情報を読み込みまたは学習するも良い固形のリンクを評価します！戦争の物語は最悪だったscariest穴い学習経験からの最良の方法ですし（笑）。

Answer 1

もちろん、安全レビューはホワイトボックスブラックボックスに、数十百?) の用途があります。

1. クロスサイト-スクリプティングやSQLインジェクションのプレスがかりを見たいの共通安全保障の欠陥るのでしょうか？くのデバッグおよび試験機能を生産す。のいずれかの改ざん、ポストパラメータ(isDebug=True)またはspideringサイトやページを残し、最悪の間違いに関する。いじめの試験/バーコードのかたまりをビニール袋に入れ、別のコードの支店、または少なくとも備えチェックリスト除去用の前に上げておきます。

2. 次に共通脆弱っているだけでする機能をバイパスのセキュリティ機構の映画を見て、URLのページのソースです。技術名称は"強いナビ"または"強制閲覧'ここでは何人でHTMLではないのだと思いますが、良いモノを、様々な用途に脆弱性がある。見直しのチケット-購入サイトは、昨日できましたチケット販売り出す、といったことです。以前のサイトのはっきりスキップ支払いた多くの、多くのPaypalサイトの"購入を完了"のURLをpaypal経由でポストパラメータ-yoink!).必要な何らかのバックエンstatefulnessまたはチェックを完了し、支払い、有用性、正確性、など。

3. 率直にいうリーディングプロジェクトAppScan,BURP代理人WebScarab,強化,FindBugs、YASCAによって予算のソースコードにアクセス）クロスサイト-スクリプティングやSQLインジェクション攻撃でした。私は簡単なものを自分なりに探して明らかな穴が多数知られる組み合わせてみます。いつの小さなコレクションのスクリプトやテストケースのためのより高度な又は新たに発見された欠陥が存在する。

ねんが，ご理解とご協力のほどよろ3時、私は本当にが、私の失点からのご質問ありがとうとうが読み壁のです。

一部の資源のための新しい味付けにウェブセキュリティ達の:(ARGH.できない正式にリンク。コピー/ペーストです。申し訳)

することによって、オープンWebアプリケーションのセキュリティプロジェクト(OWASP)

http://www.owasp.org/

ウェブセキュリティ試験の種類

本書は、監査役、テスター、以下のステータスです。ですが、ここでは稀なった。

websecuritytesting.com

脆弱性の分類による強化

www.fortify.com/vulncat/

共通の弱点を列挙(警告:豊富な)

nvd.nist.gov/cwe.cfm

一般的な攻撃パターン列挙型分類(警告:も型)

capec.mitre.org/

Googleのウェブセキュリティチュートリアル

(弱い)

code.google.com/edu/security/index.html

Answer 2

私は、ドキュメントライブラリが含まれてWebアプリケーションプロジェクトに参加しました。それは文書を参照の方法は、 http://example.com/getdocument?file=somefileのようなものでした。 PDF に。もちろん、私はちょうどファイル= / etc / passwdファイルを試してみました、そしてもちろん、それが働いています。

ソリューション：ユーザー入力のサニタイズを実行し、および/またはURLに要求されたリソースと実際のファイルシステムのリソース間の抽象化のいくつかのレベルを使用する

。

これは、SQLインジェクション攻撃のいとこです。疑い深く、それはクライアントにあまりにも多くの制御を与えるように見える任意の許可の要求を検証します。