VK
это ТЗ
Size: a a a
2020 August 27
2020 August 28
L
Добрый вечер , я Джун :) есть вопрос. Получил задание провести тестирование безопасности сайта. Решил прогнать через OWASP ZAP 2.9.0. в правильном ли направлении я мыслю?
- Составляйте тест-кейсы для тестирования безопасности, я пока не сделал статью, но закину вам такой документ интересный
- Скачайте сканер: Arachni, Owasp (уже скачан, сканером пробегитесь, и посмотрите на дырки, прочитайте какой от них импакт), если импакт большой CSRF или XSS попробуйте постэксплуатацию провести
- Попробуйте воспользоваться sqlmap и посмотреть на бд, которые использует ваша система, вдруг запросом SELECT*FROM*USER_TABLES получится вытащить всех юзеров :)
- Скачайте сканер: Arachni, Owasp (уже скачан, сканером пробегитесь, и посмотрите на дырки, прочитайте какой от них импакт), если импакт большой CSRF или XSS попробуйте постэксплуатацию провести
- Попробуйте воспользоваться sqlmap и посмотреть на бд, которые использует ваша система, вдруг запросом SELECT*FROM*USER_TABLES получится вытащить всех юзеров :)
L
но я очень против, чтобы тестер, а к тому же джун занимался пентестетом
L
L
скажите своему тимлиду, что для таких вещей нанимают аутсорс (тот же аппсек) или выпускают сайт на багбаунти площадки
VK
скажите своему тимлиду, что для таких вещей нанимают аутсорс (тот же аппсек) или выпускают сайт на багбаунти площадки
Большое спасибо
L
кстати, кто хотел логи снимать по iOS ? предлагаю хорошее решение, правда нужно попросить разраба добавить framework себе в репу:
https://bugfender.com/platforms/ios/
https://bugfender.com/platforms/ios/
Е
Всем привет! Есть ли у кого то курсы по тестированию rest api ?
Привет! Ты тут курс спрашивал - не отписались? Как нашёл (если потом сам искал) и что посоветуешь?
И
Привет! Ты тут курс спрашивал - не отписались? Как нашёл (если потом сам искал) и что посоветуешь?
Да там информации на полчаса, зачем курсы?
L
берите этот видос и вперёд:
https://www.youtube.com/watch?v=gFe-2jKIMHE
https://www.youtube.com/watch?v=gFe-2jKIMHE
Е
Да там информации на полчаса, зачем курсы?
Все те, которые на полчаса, создают в голове кашу из информации. И так уж получается, что информацию я усвоила, а по полочкам разложить не могу, и кое-чего все равно не понимаю. Думаю, что курс может решить эту проблему.
Е
берите этот видос и вперёд:
https://www.youtube.com/watch?v=gFe-2jKIMHE
https://www.youtube.com/watch?v=gFe-2jKIMHE
Спасибо!
И
1. Клиент-серверная архитектура (клиент, сервер, двузвенная и больше, что такое хост)
2. Сетевые протоколы (ХТТП\ХТТПС)
3. Сессия, токены
4. ХТТП-методы (CRUD)
5. API, JSON, XML, REST
6. Берём постман и тестовый апи (swapi, petshop, NASA) и тыкаем по документации.
2. Сетевые протоколы (ХТТП\ХТТПС)
3. Сессия, токены
4. ХТТП-методы (CRUD)
5. API, JSON, XML, REST
6. Берём постман и тестовый апи (swapi, petshop, NASA) и тыкаем по документации.
И
Все те, которые на полчаса, создают в голове кашу из информации. И так уж получается, что информацию я усвоила, а по полочкам разложить не могу, и кое-чего все равно не понимаю. Думаю, что курс может решить эту проблему.
Практика может помочь решить проблему.
И
+ можете ещё погуглить, что происходит после того, как вы вводите адрес страницы в браузере.
И
Это для понимания клиент-серверной архитектуры и понимания работы веба в целом.
Е
На хабре есть хорошие статьи, но там не все, что мне надо, потому что картина лично для меня получается не полная.
И
Бтв, если есть какие-то вопросы, которые остались нерешённые - можно спросить здесь.
♪
Этого+ практики хватит с головой для тестов апи. + Ещё выучить нормально постман либо другой инструмент и вообще збс
♪
1. Клиент-серверная архитектура (клиент, сервер, двузвенная и больше, что такое хост)
2. Сетевые протоколы (ХТТП\ХТТПС)
3. Сессия, токены
4. ХТТП-методы (CRUD)
5. API, JSON, XML, REST
6. Берём постман и тестовый апи (swapi, petshop, NASA) и тыкаем по документации.
2. Сетевые протоколы (ХТТП\ХТТПС)
3. Сессия, токены
4. ХТТП-методы (CRUD)
5. API, JSON, XML, REST
6. Берём постман и тестовый апи (swapi, petshop, NASA) и тыкаем по документации.