Samurai

The Samurai Testing Khung Web là một Linux Live CD bao gồm các thử nghiệm web công cụ kiểm tra ứng dụng hàng đầu.
Các Samurai Testing Khung Web là một môi trường linux live đã được cấu hình sẵn để hoạt động như một môi trường web bút thử nghiệm. Các CD chứa sản phẩm tốt nhất của mã nguồn mở và các công cụ miễn phí mà tập trung vào thử nghiệm và các trang web tấn công. Trong việc phát triển môi trường này, chúng tôi đã lựa chọn công cụ của chúng tôi dựa trên các công cụ chúng tôi sử dụng trong thực tiễn bảo mật của chúng tôi. Đã có bao gồm các công cụ được sử dụng trong tất cả bốn bước của một cây bút thử nghiệm web.
Ý kiến ​​phát triển
Bắt đầu với trinh sát, chúng tôi đã bao gồm các công cụ như máy quét miền Fierce và Maltego. Đối lập bản đồ, chúng tôi đã bao gồm công cụ WebScarab và ratproxy như vậy. Chúng tôi sau đó chọn công cụ để khám phá. Đây sẽ bao gồm w3af và ợ hơi. Đối với khai thác, giai đoạn cuối cùng, chúng tôi bao gồm thịt bò, AJAXShell và nhiều hơn nữa. CD này cũng bao gồm một wiki được cấu hình sẵn, thiết lập được các thông tin lưu trữ trung ương trong quá bút của bạn thử.
Hầu hết các bài kiểm tra thâm nhập được tập trung vào một trong hai cuộc tấn công mạng hoặc tấn công ứng dụng web. Với sự tách biệt này, nhiều người thử nghiệm cây bút đã tự hiểu theo, chuyên về một loại xét nghiệm này hay cách khác. Trong khi chuyên môn như là một dấu hiệu của một sôi động, khỏe mạnh ngành kiểm thử xâm nhập, kiểm tra tập trung vào chỉ một trong những khía cạnh của một môi trường mục tiêu thường xuyên bỏ lỡ những rủi ro kinh doanh thực tế của các lỗ hổng được phát hiện và khai thác bởi những kẻ tấn công kiên quyết và có tay nghề cao. Bằng cách kết hợp các cuộc tấn công ứng dụng web như SQL injection, Cross-Site Scripting, và Remote File Bao gồm với các cuộc tấn công mạng như quét cổng, dịch vụ thỏa hiệp, và khai thác phía khách hàng, những kẻ xấu có thể gây chết nhiều hơn đáng kể. Thử nghiệm thâm nhập và các doanh nghiệp sử dụng dịch vụ của họ cần phải hiểu những tấn công hỗn hợp và làm thế nào để đánh giá liệu họ dễ bị tổn thương đối với họ. Phiên này cung cấp các ví dụ thực tế của kiểm tra thâm nhập đó kết hợp các vector tấn công như vậy, và những lời khuyên thực tế để tiến hành các xét nghiệm như vậy đối với tổ chức của bạn.