我开发了一个Rails网站,供我公司用于所有员工的内部使用。它已准备好上线,但我想确保它足够安全,以面对大而糟糕的外部世界。所以我想尝试破解它来测试网站的安全性。这有什么好的起点?你知道有什么好的教程或技巧吗?
答案 0 :(得分:5)
我喜欢使用制动器gem在Rails应用程序上执行漏洞扫描。查看“开放式Web应用程序安全项目”,了解有关Web应用程序安全性的最新信息。
至于自我攻击,即“笔测试”,如果安全对您来说非常重要,那么最好将其留给安全社区以产生有意义的结果。 无论哪种方式,你仍然可以尝试自己测试。
一些很棒的资源: 谷歌格鲁耶尔 OWASP WebGoat Burp Suite (Burp Suite可能是我最喜欢的) OWASP rails安全指南(同时结帐OWASP Top 10列表) 黑客攻击Dojo .com网站和他们的Live CD进行测试 这个网站的Tweeter博客非常有趣(由于声誉我无法发布许多链接),但....允许您尝试在易受攻击的应用上执行SQL注入。不过我现在还不确定它有多相关。