第一件事;这是我以前从未做过的事情。
我有一个用 Java(JSP 和 Servlet)编写的 Web 应用程序,并使用 MySQL 作为数据库。应用程序部署在 Amazon EC2 中,这是一个我自己配置的 Ubuntu 实例。
现在我有一个非常关键的“必须”执行要求来查看这个应用程序的安全漏洞。我被要求对此进行渗透测试。
我有以下问题。
执行此测试时,我必须在我的实时应用程序中还是在我的本地计算机 (localhost) 中运行的应用程序中执行?
我发现一堆只接受 URL 并进行测试的在线工具。这些工具有推荐的和专业的吗?
有哪些推荐的 Java Web 应用渗透测试工具?它们是“软件”还是某种“API”,我必须花费大量时间对整个测试进行编程?
您应该请专业人员进行测试。
但是,我觉得这不是您的选择-因此请与雇用您的人交流您可以做什么:
您可以使用静态分析工具 - 在OWASP 安全代码分析页面上有完整的开源和商业工具列表。
您可以使用动态分析工具(或漏洞扫描器) - 查看OWASP 漏洞扫描工具页面上可用的开源/免费和商业工具列表。
(您/他们可以聘请渗透测试公司进行渗透测试)。
需要注意的是,运行静态分析和动态分析并不等同于专业的渗透测试,但它应该能够抓住一些低悬的果实。
要回答渗透测试的位置/环境问题 - 我建议您在反映生产环境的环境中进行渗透测试 - 特别是如果您已经有客户使用您的应用程序。
我建议获取免费版本的 Nessus 来扫描服务器并修复它报告的问题,然后您需要分析 OWASP top10 和 WASC 指南的应用程序,这可以通过利用 @ 提到的一些工具来完成我是谁。
您还应该使用 burp 等 Web 应用程序代理对应用程序进行手动分析。OWASP 有关于如何执行测试的指南