XSS/CSRF安全测试

Question

我是一个用GWT构建的网站的Java自动化测试人员。我的老板现在想让我专攻安全测试。问题是，除了一些简单的SQL注入之外，公司中没有人知道任何关于安全测试的知识，这两种方法都很容易测试。我遇到的问题是，他们想让我拿出XSS (跨站点脚本)和CSRF (跨站点请求伪造)的实际案例。虽然谷歌为程序员提供了一些示例，但他们没有教测试人员如何准确地测试这些漏洞。有没有一个地方，一个教程，提供了一些实际的例子，人们如何尝试这些类型的漏洞，以及如何在您的web应用程序中发现它们？

Answer 1

如果你愿意花一点钱，我会同时推荐如何破解软件和网络安全测试手册。我还建议玩一些像该死的脆弱应用程序和WebGoat这样的游戏。应该给你一个好的开始。

Answer 2

谷歌有一个很棒的网站(gruyere)来了解更多关于网络上一些最常见的安全漏洞的信息，你可以找到它这里。这是一个很好的开始，但它并不是一个全面的清单，你所有的安全关切。

您可以查看这些示例，然后尝试将它们与它们应用于应用程序的位置关联起来。

Answer 3

http://www.hackthissite.org/是一个有用的资源