http://lukasz.pilorz.net/2007/09/15/testowanie-bezpieczenstwa-aplikacji-internetowych-czesc-1-identyfikacja-dostepnych-zasobow/ Bezpieczeństwo aplikacji internetowych Thu, 04 Jun 2009 21:19:31 +0000 hourly 1 http://wordpress.org/?v=3.0 http://lukasz.pilorz.net/2007/09/15/testowanie-bezpieczenstwa-aplikacji-internetowych-czesc-1-identyfikacja-dostepnych-zasobow/comment-page-1/#comment-991 carstein Tue, 18 Sep 2007 08:15:20 +0000 http://lukasz.pilorz.net/index.php/2007/09/15/testowanie-bezpieczenstwa-aplikacji-internetowych-czesc-1-identyfikacja-dostepnych-zasobow/#comment-991 Na razie ciężko stwierdzić, na ile się pokrywają, bo rekonesans to wszędzie wygląda podobnie. Moim zdaniem warto by jeszcze opisać w jaki sposób testować, jaki serwer nasłuchuje na danym porcie - Tomcat, Apache czy coś innego. Na tym etapie mamy też zwyczaj testować konfigurację SSL oraz czy dostępny jest listener bazy danych. Jeśli chodzi o rekonesans samej aplikacji, to po prostu odpalamy BurpProxy (czy też WebScarabb) w trybie logowania i przeprowadzamy normalne operacje w aplikacji. Potem starczy przejrzeć logi i wyniki działa nia spidera. Na razie ciężko stwierdzić, na ile się pokrywają, bo rekonesans to wszędzie wygląda podobnie. Moim zdaniem warto by jeszcze opisać w jaki sposób testować, jaki serwer nasłuchuje na danym porcie – Tomcat, Apache czy coś innego. Na tym etapie mamy też zwyczaj testować konfigurację SSL oraz czy dostępny jest listener bazy danych.
Jeśli chodzi o rekonesans samej aplikacji, to po prostu odpalamy BurpProxy (czy też WebScarabb) w trybie logowania i przeprowadzamy normalne operacje w aplikacji. Potem starczy przejrzeć logi i wyniki działa nia spidera.

]]> http://lukasz.pilorz.net/2007/09/15/testowanie-bezpieczenstwa-aplikacji-internetowych-czesc-1-identyfikacja-dostepnych-zasobow/comment-page-1/#comment-976 Łukasz Pilorz Sat, 15 Sep 2007 18:37:28 +0000 http://lukasz.pilorz.net/index.php/2007/09/15/testowanie-bezpieczenstwa-aplikacji-internetowych-czesc-1-identyfikacja-dostepnych-zasobow/#comment-976 Zabierałem się do tego od dawna, więc materiały mam na kilkanaście takich krótkich odcinków - a na ile wystarczy czasu, to zobaczymy. Ciekaw jestem, w jakim stopniu moje metody pokrywają się z tym, co robią pentesterzy w Polsce (mam na myśli tylko wycinek webappsec, nie pełne testy). Mam nadzieję na komentarze, kiedy już wrzucę kilka części :) Zabierałem się do tego od dawna, więc materiały mam na kilkanaście takich krótkich odcinków – a na ile wystarczy czasu, to zobaczymy. Ciekaw jestem, w jakim stopniu moje metody pokrywają się z tym, co robią pentesterzy w Polsce (mam na myśli tylko wycinek webappsec, nie pełne testy). Mam nadzieję na komentarze, kiedy już wrzucę kilka części :)

]]> http://lukasz.pilorz.net/2007/09/15/testowanie-bezpieczenstwa-aplikacji-internetowych-czesc-1-identyfikacja-dostepnych-zasobow/comment-page-1/#comment-974 carstein Sat, 15 Sep 2007 07:26:51 +0000 http://lukasz.pilorz.net/index.php/2007/09/15/testowanie-bezpieczenstwa-aplikacji-internetowych-czesc-1-identyfikacja-dostepnych-zasobow/#comment-974 Hmm, początek dość obiecujący - mam nadzieję, że wpis będzie się rozwijał. Sam chciałem coś takiego napisać, ale nie starczyło czasu. Hmm, początek dość obiecujący – mam nadzieję, że wpis będzie się rozwijał. Sam chciałem coś takiego napisać, ale nie starczyło czasu.

]]>