Spring安全的渗透测试

Question

有哪些文档或链接可以描述已通过的bug，这些bug变成了spring安全漏洞，以及如何尝试侵入框架？

我主要感兴趣的是如何解决spring安全框架的登录和授权问题。任何可以帮助我创建自动渗透测试的技术都会非常有帮助。

无关的附注(想知道你对此的看法)：

我想让框架变得更棒的一个功能是禁止超过每日请求限制的IP地址，甚至更好的每小时请求限制。到目前为止，我一直在Cisco ASA或IPS设备上做他的工作，但将事件的应用程序日志与spring安全集成在一起将是非常有用的。

任何关于这方面的情报都将不胜感激。

Answer 1

XSS漏洞是最臭名昭著的漏洞之一，但是，您可能已经尝试过它们。检查OWASP的前10名(请谷歌)。你可以尝试所有这些。

此外，对于阻止请求，这似乎是一个非常好的想法，直到您意识到原始套接字允许任何甚至是远程经验丰富的黑客伪造他们的IP。我猜你可以验证IP (因为很多时候用来攻击页面的脚本不会有有效的IP，因为它们是随机生成的)，但是，网站无论如何都足够慢，一旦你这样做了，你仍然容易受到使用IP数据库的稍微复杂的攻击。

此外，请查看Metasploit，它非常容易使用，应该会让你很快上路。您还可以编写渗透测试脚本，因此，一旦部署了更新，只需运行一个Ruby脚本，它就会测试它是否有漏洞。