我正在爲我們的Web應用程序的API編寫一個自動測試器。我試圖打破它並暴露漏洞。到目前爲止,我想:什麼是你偷偷摸摸的PHP代碼注入攻擊?
admin=1)eval("echo 'injection';");所有%編碼OR 1=1評論--我真的不想要去的東西LIK e drop tables,我不想損害我們的測試環境。我所有的攻擊都是針對打印信息,所以我知道我在沒有刪除信息的情況下解決了我們的安全問題。
我強烈建議你自己不要這樣做。有很多不同的攻擊媒介,這可能是相當長時間的全職工作。這不是你在一兩個禮拜之內發生的事情。
反而去看看Metasploit。這是一個非常棒的筆測試框架。我保證任何知道他們在做什麼,當試圖攻擊一個網站有這個。你可以使用相同的工具。
+1 - 打敗我吧。 :-) – 2010-12-08 20:42:32
有各種各樣的自動化測試者已經在那裏,它可能更有意義,以充分利用這些優勢,因爲你會不可避免地忽略了自己的代碼一些方面,等
在條款滲透測試工具,Penetration testing tools的問題有一個包括軟件建議的討論。
開源vulnerablity掃描儀W3AF可以掃描影響PHP應用下列漏洞:
LFI/RFI
LDAPi
SQLi
XSS
OS Command Execution
CRLF injection
Directory Traversal
等等。
不要高估掃描儀發現漏洞的能力,他們通常只會返回最明顯的漏洞,任何對網站安全經驗不足的人都會發現。不幸的是,大量的供應商和利用Web應用程序,xss,csrf和sql注入的方式來命名少數流行的,並且每天都有更多。所以請記住,白名單比黑名單更好,用戶提供的任何數據都不應受信任,並試圖在代碼中反映出來。 – 2010-12-08 21:36:37
如果你沒有經歷過 - 爲什麼你要寫它?一些簡短的答案不會取代所需的知識。很可能你只是想要一個腳本小子,並以最小的努力利用某個站點。特別是用這樣的用戶名。 – 2010-12-09 05:50:48