La Web Testing Framework Samurai es un Live CD de Linux incluyendo las principales pruebas de web herramientas de prueba de la aplicación.
La Web Testing Framework Samurai es un entorno linux en vivo que ha sido pre-configurado para funcionar como un entorno web pen-testing. El CD contiene lo mejor del código abierto y herramientas gratuitas que se centran en las pruebas y los sitios web que atacan. En el desarrollo de este entorno, hemos basado nuestra selección de herramientas de las herramientas que utilizamos en nuestra práctica de seguridad. No se han incluido las herramientas utilizadas en los cuatro pasos de un pen-test web.
Comentarios de los desarrolladores
Comenzando con reconocimiento, hemos incluido herramientas como el escáner de dominio feroz y Maltego. Para el mapeo, hemos incluido las herramientas tales WebScarab y ratproxy. Entonces Elegimos herramientas para el descubrimiento. Estos incluirían w3af y eructo. Para la explotación, la etapa final, que incluye carne de res, AJAXShell y mucho más. Este CD también incluye un wiki configurado previamente, creado para ser el almacén central de información durante su prueba de pluma.
La mayoría de las pruebas de penetración se centran en cualquiera de los ataques de red o ataques a aplicaciones web. Teniendo en cuenta esta separación, muchas pruebas de intrusión mismos han seguido comprensiblemente traje, que se especializa en un tipo de prueba o el otro. Mientras que esta especialización es un signo de una industria de pruebas de penetración sana vibrante, las pruebas se centraron en sólo uno de estos aspectos de un entorno de destino a menudo pierden los riesgos reales de negocio de vulnerabilidades descubiertas y explotadas por atacantes decididos y capacitados. Mediante la combinación de ataques de aplicaciones web, tales como la inyección SQL, Cross-Site Scripting, y Remote File Incluye a los ataques de red tales como escaneo de puertos, el compromiso de servicio, y la explotación del lado del cliente, los malos son mucho más letales. Pruebas de penetración y las empresas que utilizan sus servicios necesitan entender estos ataques combinados y la forma de medir si son vulnerables a ellos. Esta sesión ofrece ejemplos prácticos de pruebas de penetración que combinan estos vectores de ataque y consejos del mundo real para la realización de estas pruebas en contra de su propia organización.
Comentarios que no se encuentran