На блоге сайта CyD Software labs я вчера немного поразмышлял на тему автоматизации поиска уязвимостей и о существующих алгоритах. Самый распространенный алгоритм, который я видел в интернете (в виде описаний или OpenSource проектов) был банальный поиск по сигнатурам, и в своей заметке я рассуждаю, почему этот метод недостаточно хорош, указываю его недостатки, ведь именно так работала предыдущая версия CyD Network Utilities и я прекрасно знаю о недостатках. Тем более, что мой собственный сайт содержал уязвимость и старая версия CyD Network Utilities не могла найти ее автоматически. Не смотря на то, что новый алгоритм еще оттачивается, на мой взгляд он уже показал очень хорошие результаты.
Читать заметку полностью: Автоматизация поиска уязвимостей на WEB сайте
Понравилось? Кликни Лайк, чтобы я знал, какой контент более интересен читателям. Заметку пока еще никто не лайкал и ты можешь быть первым
в бете есть ошибки
например, если соединение заглючило, то прога так и висит, ждет, когда же сервер отдаст страницу
принудительно обрубаю соединение в фаерволе - прога падает
и почему пункт в меню называется Test Web server security? вроде по описанию ищутся уязвимости в сайте
ОК, на счет коннекта надо будет подумать над таймаутом.
Почему WEB Server? Потому что планирую расширить тесты и будет не только сайт тестирвоать.
Хотите найти еще что-то интересное почитать? Можно попробовать отфильтровать заметки на блоге по категориям.