우리는 새로운 웹 사이트를 배포하고 있습니다. 흰 모자를 듣지 못한다면 어떻게 네트워크 외부에서 침투 테스트를 하시겠습니까?
답변
내가 본 whitehat 컨설턴트가 들어 와서이 도구 를 사용 하여 대규모 청구서를 보냅니다.
매우 유익하고 무료 인 OWASP (Open Web Application Security Project)를 살펴보십시오 ! 그들은 당신이 봐야 할 매우 상세한 펜 테스트 가이드를 가지고 있습니다.
답변
내가 사용할 도구
그리고 네소스
XSS 및 HTML 주입에 대한 빠른 스캔 http://www.seoegghead.com/tools/scan-for-html-injection.seo 도 http://www.cirt.net/nikto2
OWASP를 개발하는 동안이 내용을 살펴보십시오
또한 MS Windows Server 2008 보안 가이드에서 보안 가이드를 확인해야합니다.
답변
McAfee Secure 는 웹 서버, 네트워크 및 웹 사이트 자체를 자동화 된 주문형 방식으로 보는 적절한 검색 서비스를 제공합니다. 스캐너는 PCI 스캔 인증을 받았으므로 매우 포괄적입니다.
답변
다른 옵션은 Qualys 입니다. Qualys 및 mcAfee Secure 솔루션은 취약성 스캐너입니다. 펜 테스트는 스캔과 관련하여 자동화 될 수 있으며 일부는 XSS 및 SQL 주입 공격에 대해 자동화 될 수 있지만 궁극적으로 시스템을 확인하는 평판 좋은 펜 테스터가 필요합니다.
답변
첫 번째는 네트워크 스캔 입니다. Windows 스택에 있으므로 zenmap을 사용 하고 웹 서버와 두 SQL 서버를 모두 스캔하십시오. 열린 포트 및 서비스 실행에 대해 알려줍니다. 종합 테스트에서 zenmap을 실행하십시오. 이 정보를 사용하여 노출 된 포트를 차단하도록 방화벽을 조정합니다.
또 다른 방법은 SQL 인젝션 취약점을 찾는 것입니다 .
Scrawlr 은 웹 응용 프로그램에서 SQL 주입 취약점을 검색하기위한 무료 소프트웨어입니다.
HP 웹 보안 리서치 그룹이 Microsoft 보안 대응 센터와 협력하여 개발했습니다.
내가 만든 이 ScreenToaster 비디오 를 확인하십시오 . SQL Server, 포트 1433 및 기본 SQL 인젝션에 대한 간단한 네트워크 스캔을 보여줍니다.
답변
취약점 스캐너의 상위 l0 목록 : http : // sectools.org/vuln-scanners.html
서버를 제품에 배포하기 전에 아직 설치하지 않은 경우 기본 설치의 일부가되어야하는 Microsoft의 Baseline Security Analyzer도 있습니다. http : // www.microsoft.com/downloads/details.aspx?familyid=F32921AF-9DBE-4DCE- 889E-ECF997EB18E9 & displaylang = en