OWASP TOP 10 WEB
Web OWASP TOP 10
Топ-10 OWASP — це стандартний документ для розробників і безпеки веб-додатків. Він представляє широкий консенсус щодо найбільш критичних ризиків для безпеки веб-додатків. Компанії повинні прийняти цей документ і почати процес забезпечення мінімізації цих ризиків у своїх веб-додатках. Використання OWASP Top 10 є, мабуть, найефективнішим першим кроком до зміни культури розробки програмного забезпечення у вашій організації на таку, яка створює більш безпечний код.
OWASP TESTING GUIDE
OWASP Testing Guide
WSTG — це вичерпний посібник із тестування безпеки веб-додатків і веб-служб. Створений спільними зусиллями професіоналів з кібербезпеки та відданих волонтерів, WSTG надає структуру найкращих практик, які використовують тестувальники проникнення та організації в усьому світі.
OWASP TOP 10 MOBILE
Mobile OWASP TOP 10
«Визначте галузевий стандарт безпеки мобільних додатків». Флагманський проект безпеки мобільних додатків OWASP (MAS) надає стандарт безпеки для мобільних додатків (OWASP MASVS), повний посібник з тестування (OWASP MASTG) і контрольний список, який об’єднує все разом. Разом вони забезпечують це покриття під час оцінки безпеки мобільних додатків, щоб отримати послідовні та повні результати.
TOOLS FOR FIND VULNERABILITY
What is Brute force and how to check for this vulnerability
Brute force - це метод грубої сили, підбір [пароля] методом грубої сили атака, що полягає в пошуку пароля з безлічі всіх його можливих значень шляхом їх повного перебору. Спосіб підбору паролів до комп'ютерної системи, в якому для отримання хешованих паролів використовуються послідовності символів, що автоматично генеруються, тобто перебираються їх всілякі комбінації до тих пір, поки пароль не буде підібраний. При цьому зазвичай враховується найменша та найбільша можлива довжина пароля.
TOOLS FOR FIND VULNERABILITY
Testing for XSS and other vulnerabilities with OWASP ZAP
OWASP ZAP - це в першу чергу інструмент, який досить простий у використанні для тестування на проникнення у ваш додаток, а також для пошуку вразливостей у web-додатках. Програма призначена як для користувачів, які мають досвід роботи в сфері інформаційної безпеки, таких як розробники та мануальні QA.
TOOLS FOR FIND VULNERABILITY
Testing Uploader for vulnerabilities
І так, як перевіряти на xss, sql injection та інші вразливості ваш проект, думаю ви вже знаєте. Якщо ні, читаємо мої попередні статті. Запустити якийсь сканер на ваш сайт і все. Але не тут було, при стандартних запусках всіх сканерів, ви не перевіряєте шматок функціоналу, під назвою Uploader, який служить для завантаження файлу або фотографії до вас в базу. Так-так, там також можуть бути дірки, які можуть призвести до втрати репутації вашого бренду. Тому в цій статті я поділюся з вами, як перевірити цей модуль за допомогою Burp Suite.