Web Uygulaması Pentesting, aşağıdakiler de dahil olmak üzere Web uygulamasında mevcut olan güvenlik açıklarını belirleme, analiz etme ve raporlama yöntemidir. arabellek taşması, giriş doğrulama, kod Yürütme, Kimlik Doğrulamayı Atlama, SQL Enjeksiyon, CSRF, Siteler arası komut dosyası oluşturma Sızma Testi için verilen hedef web Uygulamasında.
Tekrarlanabilir Test Etme ve Ciddi Bir Yöntem Yürütme En İyi Yöntemlerden Biri, her türlü web uygulaması güvenlik açıkları için Web Uygulaması Sızma Testi yapar.
Web Uygulaması Sızma Testi Kontrol Listesi
Bilgi toplama
1. GNU Wget adlı bir araç kullanarak robot.txt dosyalarını alın ve analiz edin.
2. Yazılımın sürümünü inceleyin. veritabanı Ayrıntıları, hata teknik bileşeni, geçersiz sayfalar isteyerek hata kodları tarafından hatalar.
3. DNS ters sorguları, DNS bölgesi Transferleri, web tabanlı DNS Aramaları gibi teknikleri uygulayın.
4. Aşağıdaki gibi araçları kullanarak Dizin stili Arama ve güvenlik açığı taraması, URL’ler için Araştırma gerçekleştirin. NMAP ve Nessus.
5. kullanarak uygulamanın Giriş noktasını belirleyin. Burp Proxy’si, OWSAP ZAP, TemperIE, WebscarabTemper Verileri.
6. Aşağıdakiler gibi geleneksel Parmak İzi Aracını kullanarak Nmap, AmapTCP/ICMP gerçekleştirin ve Parmak İzi hizmeti verin.
7. Gibi Ortak Dosya Uzantısı İsteyerek.ASP,EXE, .HTML, .PHP ,Tanınan dosya türleri/Uzantılar/Dizinler için test edin.
8. Uygulama ön ucunun Erişim Sayfalarından Kaynaklar kodunu inceleyin.
Kimlik Doğrulama Testi
1. Mümkün olup olmadığını kontrol edin. “yeniden kullanım” Logout’tan sonraki oturum. ayrıca uygulamanın otomatik olarak oturumu kapatıp kapatmadığını kontrol edin, bir kullanıcı belirli bir süre boşta kalır.
2. Herhangi bir hassas bilginin tarayıcı önbelleğinde saklanıp saklanmadığını kontrol edin.
3. Kontrol edin ve sosyal mühendislik gizli soruları ve tahminleri çözerek şifreyi sıfırlamaya çalışın.
4. olup olmadığını kontrol edin “Şifremi Hatırla” Giriş sayfasının HTML kodu kontrol edilerek mekanizma gerçekleştirilir.
5. Donanım cihazlarının ek bir iletişim kanalı kullanarak kimlik doğrulama altyapısı ile doğrudan ve bağımsız iletişim kurup kurmadığını kontrol edin.
6. Testi CAPTCHA Sunulan veya sunulmayan kimlik doğrulama güvenlik açıkları için.
7. Herhangi bir zayıf güvenlik olup olmadığını kontrol edin sorular/Cevap sunuldu.
8. Başarılı bir SQL enjeksiyonu, müşteri güveninin kaybolmasına neden olabilir ve saldırganlar telefon numaralarını, adresleri ve kredi kartı bilgilerini çalabilir. yerleştirme web uygulaması güvenlik duvarı trafikteki kötü niyetli SQL sorgularını filtreleyebilir.
Yetkilendirme Testi
1. Kaynaklara Erişmek için Rol ve Ayrıcalık Manipülasyonunu Test Edin.
2.Giriş Vektör Numaralandırmasını Gerçekleştirerek Yol Geçişini Test Edin ve web uygulamasında sunulan giriş doğrulama işlevlerini analiz edin.
3. Web örümcek araçlarını kullanarak tanımlama bilgisi ve parametre Temperleme için test edin.
4. HTTP İstek Temperleme için test edin ve ayrılmış kaynaklara yasa dışı erişim elde edip etmediğinizi kontrol edin.
Konfigürasyon Yönetimi Testi
1. Dizini ve Dosya Numaralandırma gözden geçirme sunucusunu ve uygulama Belgelerini kontrol edin. ayrıca altyapı ve uygulama yöneticisi arayüzlerini kontrol edin.
2. Web sunucusu başlığını ve Ağ taraması gerçekleştirmeyi analiz edin.
3. Eski Dokümantasyon ve Yedeklemenin ve kaynak kodları, parolalar, kurulum yolları gibi referans verilen dosyaların varlığını kontrol edin ve doğrulayın.
4. ile ilişkili bağlantı noktalarını kontrol edin ve tanımlayın. SSL/TLS kullanan hizmetler NMAP ve NESSUS.
5. Kullanarak SEÇENEKLER HTTP yöntemini gözden geçirin ağ kedisi ve Telnet.
6. Meşru kullanıcıların kimlik bilgileri için HTTP yöntemlerini ve XST’yi test edin.
7. Kaynak kodu, günlük dosyaları ve varsayılan Hata Kodları bilgilerini gözden geçirmek için uygulama yapılandırma yönetimi testi gerçekleştirin.
Oturum Yönetimi Testi
1. Sınır Görüşü Talebi Sahteciliğini Test etmek için Kısıtlı alandaki URL’leri kontrol edin.
2.Şifrelemeyi ve yeniden kullanımını inceleyerek Açık Oturum değişkenlerini test edin. oturum belirteci, Proxy’ler ve önbelleğe alma, GET&POST.
3. Yeterli sayıda çerez örneği toplayın ve bir Saldırı gerçekleştirmek için çerez örneği algoritmasını analiz edin ve geçerli bir Çerez oluşturun.
4. Çerez özniteliğini, aşağıdakiler gibi engelleme proxy’lerini kullanarak test edin. Burp Proxy, OWASP ZAPveya Temper Data gibi trafik kesme proxy’leri.
5. Kullanıcı oturumunu mühürlemekten kaçınmak için oturum Fiksasyonunu test edin. (oturum Kaçırma)
Veri Doğrulama Testi
1. Javascript Kodlama Hataları için Kaynak kodu Analizi gerçekleştirme.
2. Aşağıdaki gibi araçları kullanarak Union Query SQL enjeksiyon testi, standart SQL enjeksiyon Testi, kör SQL sorgusu Testi gerçekleştirin. sqlninja,sqldumper,sql güç enjektörü .vb.
3. HTML Kodunu Analiz Edin, Depolanan XSS için Test Edin, Depolanan XSS’den yararlanın, aşağıdaki gibi araçları kullanın XSS proxy, Backframe, Burp Proxy, OWASP, ZAP, XSS Assistant.
4. Gerçekleştirin LDAP enjeksiyonu kullanıcılar ve ana bilgisayarlar hakkında hassas bilgiler için test.
5. Gerçekleştirin IMAP/SMTP enjeksiyonu Arka Uç Posta sunucusuna Erişim Testi.
6.Performans XPATH Enjeksiyonu Gizli bilgilere erişim testi
7. Gerçekleştirin XML enjeksiyonu XML Yapısı hakkında bilgi bilmek için test.
8. Giriş doğrulama Hatasını belirlemek için Kod yerleştirme testi yapın.
9. Yığın ve yığın bellek bilgileri ve uygulama kontrol akışı için Arabellek Taşması testi gerçekleştirin.
10. Çerezler ve HTTP yönlendirme bilgileri için HTTP Bölme ve kaçakçılık için test edin.
Hizmet Reddi Testi
1. Veritabanı işlemlerini gerçekleştiren ve herhangi bir Yavaşlama ve Yeni Hata Mesajını gözlemleyen Çok Sayıda İstek Gönderin.
2.Manuel kaynak kodu analizi yapın ve uygulamalara değişen uzunluklarda bir dizi girdi gönderin
3. Uygulama bilgisi testi için SQL joker karakter saldırılarını test edin. Kurumsal Ağlar şunları seçmelidir: en iyi DDoS Saldırısı önleme hizmetleri DDoS saldırı korumasını sağlamak ve ağlarını önlemek için
4. Kullanıcı için Test, uygulamanın işleyebileceği maksimum sayıda nesne olup olmadığını nesne tahsisini belirtir.
5. Uygulama tarafından Döngü sayacı olarak kullanılan çok sayıda giriş alanına girin. Web sitesini gelecekteki saldırılara karşı koruyun Şirketlerinizi de Kontrol Edin DDOS Saldırısı Kesinti Maliyeti.
6. Sunucu için son derece uzun bir değeri otomatik olarak göndermek için bir komut dosyası kullanın, istek günlüğe kaydedilebilir.
Öğrenin: Gelişmiş Web Hackleme ve Sızma Testi Kursunu Tamamlayın – Sıfırdan İlerlemeye