Qual è la differenza tra "test di penetrazione web" e "test di penetrazione delle applicazioni web"?

2

Ho deciso di iniziare a imparare "test di penetrazione delle applicazioni web". Ma mentre sto imparando trovo che c'è un altro termine "test di penetrazione del web". Qualcuno può dirmi qual è la differenza tra entrambi?

    
posta r00t_xx 09.01.2018 - 14:03
fonte

1 risposta

6

Per un cliente con cui ho a che fare, la distinzione è stata:

  • "test di penetrazione del web" sta testando la sicurezza di un server web come configurato per la produzione (ad esempio, RHEL 7.4 con SELinux in modalità enforcing che esegue Apache HTTPD 2.4 con un server Tomcat con due servlet sulla stessa macchina in cui httpd è in ascolto sulla porta 443 per tutto il traffico e Tomcat è in ascolto sulla porta 8443 per il traffico solo da localhost e iptables sta bloccando l'accesso esterno alla porta 8443). Questo è alla ricerca di vulnerabilità nella configurazione complessiva del server.
  • "test di penetrazione delle applicazioni web" sta testando la sicurezza della progettazione e della configurazione dell'applicazione Web stessa, in assenza di altre protezioni su cui può fare affidamento. Dall'esempio sopra, ciò significherebbe penetrazione testare il server Tomcat ei servlet dopo aver deliberatamente permesso il traffico attraverso iptables sulla porta 8443 e disabilitando SELinux. Questo è alla ricerca di vulnerabilità nell'applicazione stessa che potrebbero essere completamente, parzialmente o non attenuate a seconda di come è configurato il server su cui è in esecuzione.
risposta data 09.01.2018 - 16:43
fonte

Leggi altre domande sui tag