我是使用GWT构建的网站的Java自动测试仪。我的老板现在要我专门研究安全性测试。问题在于,除了一些轻量级的SQL注入(无论哪种方式都易于测试)之外,公司中没有人对安全测试一无所知。我遇到的问题是他们希望我提出有关XSS(跨站点脚本)和CSRF(跨站点请求伪造)的实际案例。尽管Google为程序员提供了一些示例,但他们没有做任何事情来教测试人员如何准确测试这些漏洞。有没有地方,教程和一些东西,提供了人们如何尝试这些类型的利用以及如何在您的Web应用程序中发现它们的实际示例?

#1 楼

如果您愿意花一点钱,我将同时推荐《如何破解Web软件》和《 Web安全测试手册》。我还建议您使用“该死的易受攻击的Web应用程序”和“ WebGoat”之类的东西。应该给您一个不错的开始。

#2 楼

Google有一个很棒的网站(gruyere),可让您详细了解网络上一些最常见的安全漏洞。这是一个不错的起点,但它并不是您所有安全问题的完整列表。

您可以查看这些示例,然后尝试将它们与将它们应用于您的应用程序的位置相关。

评论


击败我-爱那个网站。

– DuncN
2011年6月3日上午10:27

#3 楼

http://www.hackthissite.org/是有用的资源

#4 楼

如果应用程序具有CSRF攻击,请使用Ironwasp工具进行CSRF攻击,我们可以通过CSRF POC生成器工具轻松地识别出该错误