是否有任何明确的此类学习源的东西?
#1 楼
OWASP有很多很棒的资源来学习xss,sql注入等。我建议您检查他们的WebGoat项目和Testing Project。这些都是使您入门的好资源,而且都是免费的。
WebGoat是由OWASP维护的故意不安全的J2EE Web应用程序,旨在教授Web应用程序安全性课程。在每节课中,用户必须通过利用WebGoat应用程序中的实际漏洞来证明他们对安全问题的理解。
当前有30多个课程,包括处理以下问题的课程:
跨站点脚本(XSS),
访问控制,
线程安全,
隐藏表单域操作,
参数操作,
弱会话Cookie,
盲SQL注入,
数值SQL注入,
字符串SQL注入,
Web服务,
开放身份验证失败,
HTML注释的危险,
...等等!
https://www.owasp.org/index.php/OWASP_WebGoat_Project
OWASP测试指南包括一个“最佳实践”渗透测试框架,用户可以在其实施自己的组织和“低级”渗透测试指南,其中介绍了用于测试最常见的Web应用程序和Web服务安全性问题的技术。
https://www.owasp.org/index.php/Category:OWASP_Testing_Project
#2 楼
来点奶酪吧!Google为此提供了丰富的资源。他们创建了Gruyere网站,以帮助开发人员(和测试人员)解决安全漏洞。该应用程序充满安全漏洞,并且Google已为您打破网站设置了书面挑战设置。真的很棒。每个挑战均标有样式(黑匣子,白匣子,介于两者之间),该代码可在本地运行,并提供提示和解决方案。因此,希望它就是您所寻找的!
http://google-gruyere.appspot.com/
评论
这个网站是王牌。我将它与教科书结合使用,但是它也带您了解基础知识。
– DuncN
2011年9月25日在20:04
#3 楼
如果您想学习黑客/破解/黑帽的知识,Google是您的朋友,但是如果您想要有关该主题的特定信息,可以使用安全培训计划:https://www.eccouncil.org /certification/certified_ethical_hacker.aspx
似乎有很多程序,每个程序都出售自己的手册。
如果太多,并且您的兴趣不那么正式,则可以查看该系列的标题为“隐藏网络:如何拥有_”。在亚马逊上有很多。它们的阅读和娱乐性较轻,但可能有些过时了。
#4 楼
SANS组织有一些很好的安全课程。http://www.sans.org/security-training/courses.php
#5 楼
http://www.hackthissite.org/pages/index/index.php以及上述的OWASP和Google网站
#6 楼
我可以帮助您开始进行SQL注入方面的工作。大多数SQL注入涉及分号(;)。注入攻击巧妙地使用分号结束当前的SQL语句,并以您的注入语句开始一个。有些系统通过过滤输入内容来防范这种方法,但是可能有一种使过滤器变得愚蠢的方法。从道德的角度来看,我想不出一种在道德上进行SQL注入的方法,因为
我知道通过Google有一些命中例子可以为SQL注入提供示例;由于在设计安全系统时研究了方法。
评论
道德骇客(在这种情况下)只是描述一家聘请您从事渗透测试技能的公司的方式,即他们希望您查看他们的网站是否容易受到此类攻击
–克雷格·朝圣者
2011年8月10日上午11:08
#7 楼
如果您在9月21日有时间,则有专门用于安全测试的“周末安全测试”http://www.softwaretestingclub.com/events/weeknight-testing-black-box-security
评论
我错过了。
– DuncN
2011年9月25日20:05
评论
我可以建议将这个问题发布在security.stackexchange.com吗?您可能会在这里收到比此处更大,更多样化的答案。我可以看到安全性也很有用,但是我希望一个好的测试人员对此有所了解。即使目的不同,目标仍然是使应用程序意外执行。
这个网站上还有一些其他的资源很好的问题:sqa.stackexchange.com/questions/304/security-testing-resources sqa.stackexchange.com/questions/887/xss-csrf-security-testing sqa.stackexchange.com / questions / 607 /…
显然,干杯们没有在搜索中使用正确的关键词,因为我没有找到那些旧帖子,非常感谢。
您可能还想查看OWASP(开放式Web应用程序安全性项目)owasp.org/index.php/Main_Page