穿透测试Java应用程序

Question

第一件事，这是我从未做过的事。

我有一个用Java (JSP和Servlet)编写的web应用程序，并使用MySQL作为数据库。应用程序部署在Amazon EC2中，这是一个由我自己配置的Ubuntu实例。

现在，我有一个非常关键的“必须”执行要求来查看这个应用程序的安全漏洞。我被要求对此进行渗透测试。

我有以下问题。

1. 在执行此测试时，是否必须在我的实时应用程序或运行在本地计算机(localhost)中的应用程序中执行？
2. 我发现了一堆只接受URL并进行测试的在线工具。这些工具是推荐的和专业的？
3. 用于Java应用程序渗透测试的推荐工具是什么？它们是“软件”还是某种"API“，我必须花很多时间来编写整个测试？

Answer 1

你应该找个专业人士来做这个测试。

然而，我觉得这对你来说不是一个选择--因此，与雇佣你的人交流你能做什么：

1. 您可以使用静态分析工具( Static )--在OWASP安全代码分析页面上有一个完整的开源和商业工具列表。
2. 您可以使用动态分析工具(或漏洞扫描器)--请参阅OWASP漏洞扫描工具页面上可用的开放源代码/免费和商业工具列表。
3. (你/他们可以雇佣一家渗透测试公司进行渗透测试)。

应该注意的是，运行静态和动态分析并不是一种专业的渗透测试，而是应该捕捉到一些低挂的果实。

要回答渗透测试的位置/环境问题，我建议您在反映您的生产环境的环境中进行渗透测试--特别是如果您已经有客户使用您的应用程序。

Answer 2

我建议获得免费版本的Nessus扫描服务器并修复它报告的问题，然后您需要分析OWASP top10和WASC指南的应用程序，这可以通过使用@whoami中提到的一些工具来完成。

您还应该使用web应用程序代理(如burp )对应用程序执行手动分析。OWASP有一个如何执行测试的指南。