С нами с 06.03.03
Сообщения: 1650
Рейтинг: 1096
|
 Добавлено: 24/12/11 в 00:35 |
Тут не о взломе, если чо. Мне нужно проверить свой сайт на уязвимости в автоматическом режиме. Сделал это xspider'ом, но вот задача - у меня есть еще мемберская часть, в которую пользователь попадает только введя логин/пароль. как мне натравить его или какой-либо другой софт туда вовнутрь сайта?
|
|
|
|
| |
С нами с 16.07.06
Сообщения: 886
Рейтинг: 892
|
| Добавлено: 24/12/11 в 01:53 |
xspider вроде по другой части, к web'у не относящийся.
Найми шарящего программиста - пусть проверяет всякие inject,xss, etc уязвимости.
|
|
|
|
| |
С нами с 31.05.10
Сообщения: 1991
Рейтинг: 487
|
| Добавлено: 24/12/11 в 05:24 |
| webboxxx писал: | | Тут не о взломе, если чо. Мне нужно проверить свой сайт на уязвимости в автоматическом режиме. Сделал это xspider'ом, но вот задача - у меня есть еще мемберская часть, в которую пользователь попадает только введя логин/пароль. как мне натравить его или какой-либо другой софт туда вовнутрь сайта? |
ну выложи скрипты эта на другой домен или в другую диру, куда можно было бы без пароля пустить сканер. и отключи вход по авторизации если это возможно
xspider вещь хорошая, но я бы на твоем месте погуглил на тему penetration testers для поиска дополнительных инструментов - zaproxy к примеру.
|
|
|
|
| |
С нами с 06.03.03
Сообщения: 1650
Рейтинг: 1096
|
| Добавлено: 24/12/11 в 20:15 |
LeadFarmer: спасибо, penetration testers - это как раз то, что надо. а можешь еще примеров, кроме zaproxy? гугл это конечно хорошо, но слишком уж размазано.
|
|
|
|
| |
С нами с 10.04.04
Сообщения: 2526
Рейтинг: 1447
|
| Добавлено: 24/12/11 в 22:01 |
|
|
|
|
| |
С нами с 31.05.10
Сообщения: 1991
Рейтинг: 487
|
| Добавлено: 24/12/11 в 22:53 |
| webboxxx писал: | | LeadFarmer: спасибо, penetration testers - это как раз то, что надо. а можешь еще примеров, кроме zaproxy? гугл это конечно хорошо, но слишком уж размазано. |
боюсь разочаровать, но если хочешь подойти к вопросу серьезно - недостаточно просто скачать софтину и натравить ее на скрипты-сервер.
тема безопасности сетевых приложений - непростая и небыстрая в освоении.
разновидностей атак на сервера-скрипты много.
по одним только sql инъекциям немало информации. и автоинъекторы есть кстати (acunetix.com - сканер с фри версией. автоломалки не покажу а то уже плюсовали за такое  )
xss уязвимости - отдельная тема. даже плагины видел к фф на эту тему.
есть еще серьезные продукты типа metasploit framework. но там надо реально сидеть и разбираться.
а еще ][ и секлаб - тоже полезные ресурсы кстати. 
я к тому веду что автосканеры вещь хорошая, но не гарантируют 100% надежности. и упомянутые выше "кодеры" тоже не факт что качественно оценят безопасность - потому что все-таки это отдельная тема.
как-то так.
|
|
|
|
| |
С нами с 16.07.06
Сообщения: 886
Рейтинг: 892
|
| Добавлено: 25/12/11 в 01:43 |
Как-то на веблансере несколько лет назад видел проект, где Маузер выкладывал сайт на растерзание, с оплатой за каждую найденную дыру.
Я так понял таким образом кучу уязвимостей закрыли, там несколько уников прошли квест вообще на отлично, заполучив таки фуллдоступ через дыры.
|
|
|
|
| |
С нами с 10.03.03
Сообщения: 901
Рейтинг: 383
|
| Добавлено: 26/12/11 в 13:07 |
|
|
|
|
Мы будем жить всегда, на сайте ФСБ.
|
0
|
|
| |
С нами с 08.04.11
Сообщения: 129
Рейтинг: 118
|
| Добавлено: 27/12/11 в 16:41 |
|
|
|
|
| |
Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте! |
