想测试微服务的安全要求,并做了一些谷歌,发现了一些不错的博客,例如 URL:https ://www.imbalife.com/sql-injection 。
例如,SQL 注入漏洞 Dorks。inurl:index.php?id=
如何测试 URL 是否没有任何 PHP 内容。并检查漏洞。我是这个安全测试领域的新手。请帮我。
谢谢
问问题
1330 次
1 回答
2
即使它是另一种技术,它也是相同的概念。
这个想法是测试系统中的多个漏洞。通常您会想要测试和控制应用程序中的所有输入。最严重的漏洞是代码注入攻击(SQL、命令、客户端代码等),也不排除许多其他漏洞。您还需要测试逻辑安全漏洞,例如某些应用程序功能是否未正确实现(例如身份验证/授权机制,包括用户密码恢复或帐户注册等)
我强烈建议您浏览OWASP 前 10 名列表,并查看他们关于最佳安全编码实践以及如何避免和防止此类攻击的指南。考虑到您提到了对微服务的测试,我认为它们是某种 REST API,然后更多地关注 API 安全问题。
于 2017-04-20T11:37:13.500 回答