Il modo migliore per eseguire test di sicurezza per un server dietro il proxy nginx [chiuso]

2

Sto provando a fare alcuni test di sicurezza per il mio server (non un server web) che si trova dietro un proxy nginx. Per cominciare, ho fatto alcuni test fuzz usando Sulley. Come previsto, la maggior parte delle richieste fuzzed sono state gestite da nginx. Ho anche provato a utilizzare lo strumento BED ma dal momento che il mio server si aspetta una richiesta su un URI specifico ( link ), non sono riuscito a sfruttare al meglio di esso. (è possibile?)

La mia domanda- c'è qualche ulteriore possibilità di fare test fuzz (che potrei aver perso)? Se sì, allora quali strumenti possono essere utilizzati?

Sto anche cercando uno strumento per eseguire test di penetrazione. Grazie in anticipo per i tuoi dati.

    
posta pragmatic 13.02.2015 - 11:23
fonte

1 risposta

1

Sono d'accordo sul fatto che Burp suite sia un buon strumento, ma ci sono molti tipi diversi di strumenti per eseguire i test di penetrazione. Gli strumenti sono utili per il pentesting, ma è necessario comprendere l'applicazione e l'ambiente. Quindi è possibile selezionare gli strumenti giusti per il lavoro.

Hai indicato che il tuo server non è un server web, ma è dietro un proxy nginx, quindi che tipo di server è? Comprendere l'ambiente e la "superficie di attacco" è il primo passo.

Una volta compreso, devi cercare le vulnerabilità e attaccare i vettori. Una volta individuata una vulnerabilità, è necessario capire se è sfruttabile.

Gran parte di ciò non può essere eseguito da uno strumento.

Dai un'occhiata a "Engebretson, Patrick: nozioni di base sui test di hacking e penetrazione: test di hacking e penetrazione etici semplificati, seconda edizione, pubblicazione Syngress © 2013" per una buona panoramica del pentesting.

    
risposta data 13.02.2015 - 18:23
fonte

Leggi altre domande sui tag