Тестирование по безопасности для проверки сайтв, проникновения в админ и создания проблем.
Конечном результатом роботы будет подготовка и передача отчёта о ошибках , уровня их критичности и рекомендации устранения проблем. Отчет должен быть на анг
1. Сетевой осмотр
○ Whois и другие общественные базы
○ поиск в интернете
○ карта DNS
2. :
○ Список портов по умолчанию
○ Активные хосты
3. Взлом паролей
4. Vulnerability Assessment – оценка уязвимости
5. Проверка ресурса
6. Тестирование сервера
■ непосредственный доступ
■ сканирование
■ атака на пороли
○ Услуги доступа VPN
■ сканирование
■ идентификация
■ атака на ipsec
o услуги WWW
■ сбор информации
● пауки, роботы
● Интернет-поисковые системы
● анализ ошибок возврата сервера
■ тестирование управления конфигурацией
● testowanie SSL / TLS (wersja, algorytm, długość lucza, ważność) \ SSL / TLS (версия, алгоритм, длинна ключа, важность
● прослушивание сервера базы данных
● тестирование конфигурацией инфраструктуры
● тестирование конфигурацией приложения
● анализ расширения файлов
● анализ скрытых файлов
● инфраструктуры админа
● анализ metod HTTP и Cross Site Tracing XST
■ анализ подтверждения
● транспорт данных шифрованном каналом
● номера юзеров
● анализ учетной записи счетов юзеров
● силовая атака на учетные записи
● проба обхода подтверждения
● анализ сохранения пароля и ресет
● анализ вызода из учетной записи
● тест CAPTCHA
■ тестирование сессии
● анализ механизма сессии
● анализ cookies
● анализ Session Fixation
● анализ CSRF
■ тестирование авторизации
● анализ Path Traversal
● проба обхода авторизации
● анализ Reflected Cross Site Scripting
● анализ Stored Cross Site Scripting
● анализ DOM based Cross Site Scripting
● анализ Cross Site Flashing
● анализ SQL Injection
○ Oracle
○ MySQL
○ SQL Server
○ MS Access
○ PostgreSQL
● анализ переполненного буфора
○ анализ переполненного sterty
● анализ HTTP Splitting/Smuggling
7. анализ симулирования атак