想测试微服务的安全需求,谷歌了一下,发现了一些不错的博客,例如 URL:https://www.imbalife.com/sql-injection .
Eg.SQL 注入(inject)漏洞 Dorks。 inurl:index.php?id=
如何测试 URL 是否没有任何 PHP 内容。并检查漏洞。
我是这个安全测试领域的新手。请帮助我。
谢谢
最佳答案
即使是另一种技术,也是同一个概念。
这个想法是为了测试系统中的多个漏洞。通常您会想要测试和控制应用程序中的所有输入。最严重的漏洞是代码注入(inject)攻击(SQL、命令、客户端代码等),也不排除许多其他漏洞。 您还需要测试逻辑安全漏洞,例如某些应用程序功能是否未正确实现(例如身份验证/授权机制,包括用户密码恢复或帐户注册等)
我强烈建议您浏览 OWASP Top 10列出并检查他们的最佳安全编码实践指南以及如何避免和防止此类攻击。考虑到您提到了对微服务的测试,我认为它们是某种 REST API,然后更多地关注 API 安全问题。
关于testing - 如何在微服务上进行渗透测试/安全测试?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41809373/