• Web Security 21.10.2014

    Web Security Testing 線上練習網站

    ID-10075669

    在 Web Security testing and penetration 測試的領域有沒有什麼線上練習的網站可以測試或是練習?

    為什麼這些網站要故意測試為弱點很多讓人做入侵測試呢?

    一部分是因為學術非營利單位做研究訓練用途

    另一部分是因為該網站公司的產品為 Web Security testing/Scanner,

    設立該網站可以用來 Demo 公司相關 Web Security scanner 的產品成效

    這邊介紹幾個可以提供 Web Security 線上測試練習的網站。

    Acunetix 提供分別有三種不同類型的網站,論壇、部落格、與購物網站。使用的技術也不同. ASP, .NET , PHP

     

    CrackMeBank 這是一個類似銀行的網站,註冊登入,模擬銀行交易。

    crackMeBank

     

     

    這個網站為 HP 所設立,也是類似模擬銀行網站。

    webappSecurity

     

    這個網站為 IBM 所設立,也是類似模擬銀行網站。

     

    testfire

     

    自動化測試

    一開始還不熟悉的話,可以先用該公司所提供的自動化測試進行初步的網站掃描測試

    一般自動化工具都會提供測試報告,說明每一個掃描弱點的威脅與預防

    這邊主要介紹一個 Open Source 工具, OWASP ZAP

    可以在這裡下載安裝,支援 Windows/Linux/Mac

    https://code.google.com/p/zaproxy/wiki/Downloads?tm=2

     

    這類的工具會根據已知或是定義好的潛在風險對網站進行測試掃描

    並且將掃描完之後的結果與可疑的弱點彙整報告

    對於初步想要得知網站重大弱點卻又時間有限的測試開發團隊來說,這個工具是十分有幫助

    但是這樣的工具所執行的結果,還是需要工程師進一步的研判。

    測試的精準度,或是測試的過程也是需要工程師介入來做測試。

    自動化測試就好比是轟炸機,從高空轟炸攻擊地面的目標。

    但是要徹底掃蕩戰場,或是精準的轟炸還是要靠空降部隊或是陸戰隊的導引。

    這也就是測試人員的專業價值所在。

     

     

    Posted by Tony @ 7:45 am

    Tags: , ,

  • Leave a Reply

    Your email address will not be published.