Penetrare il test delle applicazioni Web Java

Naviga le tue risposte
4

Per prima cosa; questo è qualcosa che non ho mai fatto prima.

Ho un'applicazione web scritta in Java (JSP e Servlet) e utilizzo MySQL come database. L'applicazione è distribuita in Amazon EC2, un'istanza Ubuntu configurata da me stessa.

Ora ho un "bisogno" molto critico di eseguire i requisiti per vedere i buchi di sicurezza di questa applicazione. Mi è stato chiesto di fare un test di penetrazione su questo.

Ho sotto le domande.

  1. Quando si esegue questo test, devo fare nella mia applicazione live o nell'applicazione in esecuzione nel mio computer locale (localhost)?

  2. Ho trovato una serie di strumenti online che accettano solo un URL e fanno il test. Questi strumenti sono consigliati e professionali?

  3. Quali sono gli strumenti consigliati disponibili per il test di penetrazione delle applicazioni Web Java? Sono "software" o tipo di "API" in cui devo programmare l'intero test spendendo molto tempo?

posta PeakGen 09.10.2015 - 10:01
fonte

2 risposte

7

Dovresti ottenere un professionista per eseguire il test.

Tuttavia, ho la sensazione che questa non sia un'opzione per te, quindi comunica alla persona che ti ha assunto quello che puoi fare:

  1. Puoi usare gli strumenti di analisi statica - C'è un intero elenco di strumenti Open Source e commerciali disponibili su OWASP Analisi del codice protetto pagina.

  2. Puoi utilizzare gli strumenti di analisi dinamica (o gli scanner di vulnerabilità): consulta l'elenco di strumenti open source / gratuiti e commerciali disponibili su Strumenti di scansione delle vulnerabilità OWASP pagina.

  3. (Possono assumere una compagnia di Penetration Testing per eseguire un test di penetrazione).

Va notato che l'esecuzione dell'analisi statica e dinamica non è la stessa cosa di un test di penetrazione professionale, ma dovrebbe catturare parte del basso contenuto di frutta.

Per rispondere alla domanda sulla posizione / sull'ambiente del test di penetrazione - ti consiglio di eseguire un test di penetrazione in un ambiente che rispecchia l'ambiente di produzione, specialmente se hai già clienti che utilizzano l'applicazione.

    
risposta data 09.10.2015 - 12:35
fonte
2

Suggerirei di ottenere la versione gratuita di Nessus per eseguire la scansione del server e risolvere i problemi segnalati, quindi è necessario analizzare l'applicazione per OWASP top10 e la linea guida WASC, questo potrebbe essere fatto utilizzando alcuni degli strumenti menzionati da @whoami.

Dovresti anche eseguire un'analisi manuale dell'applicazione utilizzando il proxy dell'applicazione web come rutto. OWASP ha una linea guida su come eseguire i test

    
risposta data 16.10.2015 - 01:41
fonte

Leggi altre domande sui tag

Sono richiesti i firewall se si utilizza una VPN [chiuso] Gli hacker possono accedere alla mia webcam? [duplicare]