Web Security Testing 線上練習網站

Web Security Testing 線上練習網站

ID-10075669

在 Web Security testing and penetration 測試的領域有沒有什麼線上練習的網站可以測試或是練習?

為什麼這些網站要故意測試為弱點很多讓人做入侵測試呢?

一部分是因為學術非營利單位做研究訓練用途

另一部分是因為該網站公司的產品為 Web Security testing/Scanner,

設立該網站可以用來 Demo 公司相關 Web Security scanner 的產品成效

這邊介紹幾個可以提供 Web Security 線上測試練習的網站。

Acunetix 提供分別有三種不同類型的網站,論壇、部落格、與購物網站。使用的技術也不同. ASP, .NET , PHP

 

CrackMeBank 這是一個類似銀行的網站,註冊登入,模擬銀行交易。

crackMeBank

 

 

這個網站為 HP 所設立,也是類似模擬銀行網站。

webappSecurity

 

這個網站為 IBM 所設立,也是類似模擬銀行網站。

 

testfire

 

自動化測試

一開始還不熟悉的話,可以先用該公司所提供的自動化測試進行初步的網站掃描測試

一般自動化工具都會提供測試報告,說明每一個掃描弱點的威脅與預防

這邊主要介紹一個 Open Source 工具, OWASP ZAP

可以在這裡下載安裝,支援 Windows/Linux/Mac

https://code.google.com/p/zaproxy/wiki/Downloads?tm=2

 

這類的工具會根據已知或是定義好的潛在風險對網站進行測試掃描

並且將掃描完之後的結果與可疑的弱點彙整報告

對於初步想要得知網站重大弱點卻又時間有限的測試開發團隊來說,這個工具是十分有幫助

但是這樣的工具所執行的結果,還是需要工程師進一步的研判。

測試的精準度,或是測試的過程也是需要工程師介入來做測試。

自動化測試就好比是轟炸機,從高空轟炸攻擊地面的目標。

但是要徹底掃蕩戰場,或是精準的轟炸還是要靠空降部隊或是陸戰隊的導引。

這也就是測試人員的專業價值所在。

 

 

Leave a Reply

Your email address will not be published.