Контролна листа за тестирање пенетрације веб апликација у 2022

Процес тестирања пенетрације веб апликације се изводи да би се откриле и пријавиле постојеће рањивости у веб апликацији. Валидација уноса се може постићи анализом и пријављивањем постојећих проблема у апликацији, укључујући извршење кода, СКЛ ињекцију и ЦСРФ.

Bu најбоља КА компанијаима један од најефикаснијих начина да тестира и обезбеди веб апликације са озбиљним процесом. Ово укључује извођење више тестова на различитим типовима рањивости.

Тестирање пенетрације веб апликација је витални елемент сваког дигиталног пројекта како би се осигурао квалитет рада.

Прикупљање података

У овој фази прикупљате информације о својим циљевима користећи јавно доступне изворе. То укључује веб локације, базе података и апликације које зависе од портова и услуга које тестирате. Након прикупљања свих ових података, имаћете свеобухватну листу ваших циљева, укључујући имена и физичке локације свих наших запослених.

Важне тачке које треба узети у обзир

Користите алат познат као ГНУ Вгет; Овај алат има за циљ да опорави и протумачи датотеке робот.ткт.

Потребно је проверити да ли софтвер има најновију верзију. Овај проблем може утицати на различите техничке компоненте као што су детаљи базе података.

Остале технике укључују пренос зона и обрнути ДНС упите. Такође можете да користите претраге засноване на вебу да бисте решили и лоцирали ДНС упите.

Сврха овог процеса је да идентификује улазну тачку апликације. Ово се може постићи коришћењем различитих алата као што су ВебсцарабТемпер Дата, ОВСАП ЗАП и Бурп Проки.
Користите алате као што су Нессус и НМАП за обављање различитих задатака, укључујући претраживање и скенирање директоријума за рањивости.

Користећи традиционалну алатку за отисак прста као што је Амап, Нмап или ТЦП/ИЦМП, можете обављати различите задатке у вези са аутентификацијом апликације. То укључује проверу екстензија и директоријума које препознаје прегледач апликације.

Тест ауторизације

Сврха овог процеса је да се тестира манипулација улогама и привилегијама за приступ ресурсима веб апликације. Анализа функција валидације пријаве у веб апликацији омогућава вам да извршите прелазе на путањи.

На пример, веб спидер Тестирајте да ли су колачићи и параметри исправно постављени у њиховим алатима. Такође, проверите да ли је дозвољен неовлашћени приступ резервисаним ресурсима.

Тест аутентификације

Ако се апликација одјави након одређеног времена, могуће је поново користити сесију. Такође је могуће да апликација аутоматски уклони корисника из стања мировања.

Технике друштвеног инжењеринга могу се користити за покушај ресетовања лозинке пробијањем кода странице за пријаву. Ако је имплементиран механизам „запамти моју лозинку“, овај метод ће вам омогућити да лако запамтите своју лозинку.

Ако су хардверски уређаји повезани на екстерни комуникациони канал, они могу независно да комуницирају са инфраструктуром за аутентификацију. Такође проверите да ли су представљена безбедносна питања и одговори тачни.

Успешно СКЛ ињекцијаможе довести до губитка поверења купаца. То такође може довести до крађе осетљивих података као што су подаци о кредитној картици. Да би се ово спречило, заштитни зид веб апликације треба поставити на безбедну мрежу.

Тест валидације података

Анализа ЈаваСцрипт кода се врши покретањем различитих тестова за откривање грешака у изворном коду. Ово укључује слепо тестирање СКЛ ињекције и тестирање Унион Куери. Такође можете користити алате као што су склдумпер, повер ињецтор и склниња за обављање ових тестова.

Користите алате као што су Бацкфраме, ЗАП и КССС Хелпер да анализирате и тестирате ускладиштени КССС. Такође, тестирајте осетљиве информације користећи различите методе.

Управљајте Бацкенд Маил сервером користећи технику укључења. Тестирајте КСПатх и СМТП технике убризгавања да бисте приступили поверљивим информацијама ускладиштеним на серверу. Такође, урадите тестирање уграђивања кода да бисте идентификовали грешке у валидацији уноса.

Тестирајте различите аспекте тока контроле апликације и информација о меморији стека користећи преливање бафера. На пример, дељење колачића и отмица веб саобраћаја.

Тест конфигурације управљања

Погледајте документацију за вашу апликацију и сервер. Такође се уверите да инфраструктура и интерфејс администратора функционишу исправно. Уверите се да старије верзије документације и даље постоје и да треба да садрже изворне кодове вашег софтвера, лозинке и путање за инсталацију.

Користећи Нетцат и Телнет ХТТП Проверите опције за имплементацију метода. Такође, тестирајте акредитиве корисника за оне који су овлашћени да користе ове методе. Извршите тест управљања конфигурацијом да бисте прегледали изворни код и датотеке евиденције.

решење

Очекује се да ће вештачка интелигенција (АИ) играти виталну улогу у побољшању ефикасности и тачности пенетрационог тестирања омогућавајући тестерима оловке да врше ефикасније процене. Међутим, важно је запамтити да и даље морају да се ослоне на своје знање и искуство како би донели информисане одлуке.