Web Security Testing 線上練習網站
在 Web Security testing and penetration 測試的領域有沒有什麼線上練習的網站可以測試或是練習?
為什麼這些網站要故意測試為弱點很多讓人做入侵測試呢?
一部分是因為學術非營利單位做研究訓練用途
另一部分是因為該網站公司的產品為 Web Security testing/Scanner,
設立該網站可以用來 Demo 公司相關 Web Security scanner 的產品成效
這邊介紹幾個可以提供 Web Security 線上測試練習的網站。
- Acunetix:
- http://testasp.vulnweb.com (Forum – ASP)
- http://testaspnet.vulnweb.com (Blog – .NET)
- http://testphp.vulnweb.com (Art shopping – PHP)
Acunetix 提供分別有三種不同類型的網站,論壇、部落格、與購物網站。使用的技術也不同. ASP, .NET , PHP
- Cenzic CrackMeBank: http://crackme.cenzic.com
CrackMeBank 這是一個類似銀行的網站,註冊登入,模擬銀行交易。
- HP/SpiDynamics Free Bank Online: http://zero.webappsecurity.com (admin/admin)
這個網站為 HP 所設立,也是類似模擬銀行網站。
- IBM/Watchfire AltoroMutual: http://demo.testfire.net (jsmith/Demo1234)
這個網站為 IBM 所設立,也是類似模擬銀行網站。
自動化測試
一開始還不熟悉的話,可以先用該公司所提供的自動化測試進行初步的網站掃描測試
一般自動化工具都會提供測試報告,說明每一個掃描弱點的威脅與預防
這邊主要介紹一個 Open Source 工具, OWASP ZAP
可以在這裡下載安裝,支援 Windows/Linux/Mac
https://code.google.com/p/zaproxy/wiki/Downloads?tm=2
這類的工具會根據已知或是定義好的潛在風險對網站進行測試掃描
並且將掃描完之後的結果與可疑的弱點彙整報告
對於初步想要得知網站重大弱點卻又時間有限的測試開發團隊來說,這個工具是十分有幫助
但是這樣的工具所執行的結果,還是需要工程師進一步的研判。
測試的精準度,或是測試的過程也是需要工程師介入來做測試。
自動化測試就好比是轟炸機,從高空轟炸攻擊地面的目標。
但是要徹底掃蕩戰場,或是精準的轟炸還是要靠空降部隊或是陸戰隊的導引。
這也就是測試人員的專業價值所在。