まず最初に;これは私が今までやったことがないものです。
Java(JSPとサーブレット))で記述されたWebアプリケーションを使用しており、データベースとしてMySQLを使用しています。アプリケーションは、すべて自分で構成したUbuntuインスタンスであるAmazon EC2にデプロイされています。
現在、このアプリケーションのセキュリティホールを確認するには、非常に重要な「必須」の実行要件があります。これについて侵入テストをするように頼まれました。
以下の質問があります。
このテストを実行するとき、ライブアプリケーションまたはローカルマシン(localhost)で実行されているアプリケーションで行う必要がありますか?
URLのみを受け入れてテストを行うオンラインツールがたくさん見つかりました。これらのツールは推奨され、プロフェッショナルですか?
Java Webアプリケーション侵入テストに使用できる推奨ツールは何ですか?それらは「ソフトウェア」または一種の「API」であり、多くの時間を費やすテスト全体をプログラムする必要がありますか?
テストを実行する専門家を取得する必要があります。
しかし、これはあなたにとって選択肢ではないという感じがします。そのため、あなたが雇った人にあなたができることを伝えてください。
静的分析ツールを使用できます- OWASPセキュアコード分析 ページで利用可能なオープンソースツールと商用ツールの完全なリストがあります。
動的分析ツール(または脆弱性スキャナー)を使用できます- OWASP脆弱性スキャンツール ページで利用可能なオープンソース/無料および商用ツールのリストを参照してください。
(あなた/彼らは侵入テストを実行するために侵入テスト会社を雇うことができます)。
静的解析と動的解析を実行することは、プロの侵入テストと同じではありませんが、ぶら下がっている果物のいくつかをキャッチする必要があることに注意してください。
侵入テストの場所/環境の質問に答えるために-特にアプリケーションをすでに使用しているクライアントがある場合は、本番環境を反映した環境で侵入テストを行うことをお勧めします。
Nessusの無料バージョンを入手してサーバーをスキャンし、それによって報告された問題を修正することをお勧めします。次に、OWASP top10およびWASCガイドラインのアプリケーションを分析する必要があります。これは、@で言及されているいくつかのツールを使用して行うことができます。私は誰。
また、げっぷのようなWebアプリケーションプロキシを利用して、アプリケーションの手動分析を実行する必要があります。 OWASPには、テストの実行方法に関するガイドラインがあります