如何攻击我自己的网站？

Question

我目前正在为一个包含两个页面的网站(JSP)工作:登录和数据页面。一旦用户登录，他就能够从具有只读访问权限的特定表中选择数据。

在浏览了网上的安全风险之后，我写下了一份大概的清单，列出了我可能要防御的东西。

1. 注射
2. XSS
3. 8月/会议劫持
4. CSRF
5. 直接对象参考

目前，我正在阅读如何防御这些攻击，以及我应该包括在我的代码。但是，除非我自己测试这些攻击(即使这样，可能还有其他的攻击)，否则我不会真正知道我的代码是否真的能工作。现在，我只是想要一些安全，因此我需要知道如何产生这些攻击，以便我可以尝试他们在我的网站。

注入很简单，因为我只需在代码中做什么类型'1'='1‘才能显示它是有缺陷的，然后我使用了准备好的语句，SQL注入不再起作用了。

如何生成这些攻击的其余部分，以查看我的安全性是否至少可以对付基本攻击？

(此外，我是否可以使用安全的站点或工具来测试我的漏洞？)

Answer 1

我从您的列表中假设您正在查看开放Web应用程序安全项目十大。好的!

真的，我能给出的最好的建议就是阅读OWASP网站。一个很好的第一步是浏览页面上的各个链接(例如中断身份验证和会话管理)并检查“我易受攻击吗？”部分。以下是一些进一步的提示：

XSS

XSS备忘单在这里会很有帮助。更多的例子，你可以摇动棍子，准备粘贴到你的网站。

CSRF

OWASP的wiki有一个充满伟大链接和建议的CSRF测试指南。

8月/会议劫持

你在用HTTPS吗？有关更多信息，请参见这个答案。

更多资源

如果您想更深入地进行一些真正的测试，下面是一些您可以做的事情：

• 读Web应用程序黑客手册。
• 尝试一下http://hackthissite.org和Google Gruyere项目上的一些例子，看看是否可以破解它们。
• 下载Kali Linux并学习使用它附带的一些工具。
• 去参加你身边的安全会议或Min图标，并与其他信息中心的人联系。也许我会在那里见到你:)