我想学习安全测试

Question

我想学习安全测试。最重要的安全测试类型是: sql注入攻击、跨站点脚本攻击、钓鱼攻击.我不知道怎么开始学习。我想找一些教程，或者谁能告诉我如何开始？有可用的工具吗？

Answer 1

查看这个非常好的列表：http://katrinatester.blogspot.de/2015/09/security-testing-pathway.html

这是免费课程：https://www.cybrary.it

Answer 2

首先，我建议安装费德勒并使用它探索您的网站。有大量关于如何使用Fiddler的信息，它为探索和尝试操作应用程序中的数据提供了一个不错的起点。(我与Telerik没有关联--我只是使用这个软件作为我的第一个通过的安全工具)。

除此之外，我建议在不同类型的安全测试中搜索教程，并搜索信息安全堆栈交换站点以获取初学者级别的信息。

还有几条给你的一般性建议：

• 如果你/你的雇主没有控制软件，不要尝试在软件上学习安全测试。并不是每个公共网站都想让任何喜欢的人来测试他们的安全。
• 试着学习一个测试环境。它可能没有锁定所有的东西(例如，许多测试环境不使用SSL)，但是应用程序的基础应该是相同的。更重要的是，在测试环境中，如果您意外地对服务器或数据库做了一些可怕的事情，您可以恢复。对你雇主的实时软件这么做可能会让你被解雇。
• 搜索引擎是你的朋友。