Daftar Periksa Pengujian Penetrasi Aplikasi Web

  • Whatsapp
Daftar Periksa Pengujian Penetrasi Aplikasi Web
Daftar Periksa Pengujian Penetrasi Aplikasi Web
Daftar Periksa Pengujian Penetrasi Aplikasi Web – Lembar Cheat Rinci

Pentesting Aplikasi Web adalah metode untuk mengidentifikasi, menganalisis, dan Melaporkan kerentanan yang ada di aplikasi Web termasuk buffer overflow, validasi input, Eksekusi kode, Otentikasi Bypass, Injeksi SQL, CSRF, Skrip lintas situs di Aplikasi web target yang diberikan untuk Pengujian Penetrasi.

Pengujian Berulang dan Melakukan metode yang serius Salah satu Metode Terbaik melakukan Pengujian Penetrasi Aplikasi Web untuk semua jenis kerentanan aplikasi web.

Daftar Periksa Pengujian Penetrasi Aplikasi Web

Pengumpulan Informasi

1. Ambil dan Analisis file robot.txt dengan menggunakan alat yang disebut GNU Wget.

2. Periksa versi perangkat lunak. database Detail, komponen teknis kesalahan, bug oleh kode kesalahan dengan meminta halaman yang tidak valid.

3. Menerapkan teknik seperti permintaan terbalik DNS, Transfer zona DNS, Pencarian DNS berbasis web.

4. Lakukan Pencarian gaya Direktori dan pemindaian kerentanan, Probe untuk URL, menggunakan alat seperti NMAP dan Nessus.

5. Identifikasi titik masuk aplikasi menggunakan Proksi Bersendawa, OWSAP ZAP, TemperIE, WebscarabTemper Data.

6. Dengan menggunakan Alat Sidik Jari tradisional seperti Nmap, Amap, melakukan TCP/ICMP dan layanan Fingerprinting.

7.Dengan Meminta Ekstensi File Umum seperti.ASP, EXE, .HTML, .PHP ,Tes untuk jenis file/Ekstensi/Direktori yang dikenali.

8. Periksa kode Sumber Dari Mengakses Halaman dari ujung depan Aplikasi.

Pengujian Otentikasi

1. Periksa apakah mungkin untuk “penggunaan kembali” sesi setelah Logout.juga periksa apakah aplikasi secara otomatis keluar dari pengguna yang menganggur selama jangka waktu tertentu.

2. Periksa apakah ada informasi sensitif Tetap Tersimpan tersimpan di cache browser.

3. Periksa dan coba Reset kata sandi, dengan rekayasa sosial memecahkan pertanyaan rahasia dan menebak.

4. periksa apakah “Ingat kata sandi saya” Mekanisme diimplementasikan dengan mengecek kode HTML halaman login.

5. Periksa apakah perangkat keras berkomunikasi secara langsung dan independen dengan infrastruktur otentikasi menggunakan saluran komunikasi tambahan.

6. Tes CAPTCHA untuk kerentanan otentikasi disajikan atau tidak.

7. Periksa apakah ada keamanan yang lemah pertanyaan/Jawaban disajikan.

8. Injeksi SQL yang berhasil dapat menyebabkan hilangnya kepercayaan pelanggan dan penyerang dapat mencuri nomor telepon, alamat, dan detail kartu kredit. Menempatkan firewall aplikasi web dapat menyaring kueri SQL berbahaya di lalu lintas.

Pengujian Otorisasi

1. Uji Manipulasi Peran dan Privilege untuk Mengakses Sumber Daya.

2.Test Untuk Lintasan Jalur dengan Melakukan Enumerasi Vektor input dan menganalisis fungsi validasi input yang disajikan dalam aplikasi web.

3.Test cookie dan parameter Tempering menggunakan web spider tools.

4. Uji Tempering Permintaan HTTP dan periksa apakah akan mendapatkan akses ilegal ke sumber daya yang dicadangkan.

Pengujian Manajemen Konfigurasi

1. Periksa direktori dan server tinjauan Enumerasi File dan Dokumentasi aplikasi. juga, periksa antarmuka admin infrastruktur dan aplikasi.

2. Menganalisis spanduk server Web dan Melakukan pemindaian jaringan.

3. Periksa dan verifikasi keberadaan Dokumentasi dan Cadangan lama dan file referensi seperti kode sumber, kata sandi, jalur instalasi.

4.periksa dan identifikasi port yang terkait dengan SSL/TLS layanan menggunakan NMAP dan NESUS.

5. Tinjau PILIHAN metode HTTP menggunakan Netcat dan Telnet.

6. Uji metode HTTP dan XST untuk kredensial pengguna yang sah.

7. Lakukan pengujian manajemen konfigurasi aplikasi untuk meninjau informasi kode sumber, file log, dan Kode Kesalahan default.

Pengujian Manajemen Sesi

1. Periksa URL di area terlarang untuk menguji pemalsuan permintaan pandangan silang.

2.Uji variabel Sesi yang Terkena dengan memeriksa Enkripsi dan penggunaan kembali token sesi, Proksi dan caching, GET&POST.

3. Kumpulkan sampel cookie dalam jumlah yang cukup dan analisis algoritme sampel cookie dan tempa Cookie yang valid untuk melakukan Serangan.

4. Uji atribut cookie menggunakan proxy intersep seperti Proksi Bersendawa, OWASP ZAP, atau proxy pencegat lalu lintas seperti Temper Data.

5. Uji Fiksasi sesi, untuk menghindari sesi pengguna segel. (Sesi Pembajakan)

Pengujian Validasi Data

1. Melakukan Analisis Kode Sumber untuk Kesalahan Pengkodean javascript.

2. Lakukan pengujian injeksi SQL Union Query, Pengujian injeksi SQL standar, Pengujian kueri SQL buta, menggunakan alat seperti sqlninja, sqldumper, injektor daya sql .dll.

3. Analisis Kode HTML, Uji XSS yang disimpan, manfaatkan XSS yang disimpan, menggunakan alat seperti Proxy XSS, Backframe, Proxy Burp, OWASP, ZAP, Asisten XSS.

4. Lakukan injeksi LDAP pengujian untuk informasi sensitif tentang pengguna dan host.

5. Lakukan Injeksi IMAP/SMTP Pengujian untuk Mengakses server Backend Mail.

6.Lakukan Injeksi XPath Pengujian untuk Mengakses informasi rahasia

7. Lakukan injeksi XML pengujian untuk mengetahui informasi tentang Struktur XML.

8. Lakukan pengujian injeksi Kode untuk mengidentifikasi Kesalahan validasi input.

9. Lakukan pengujian Buffer Overflow untuk informasi memori Stack dan heap serta aliran kontrol aplikasi.

10. Uji untuk HTTP Pemisahan dan penyelundupan cookie dan informasi pengalihan HTTP.

Pengujian Penolakan Layanan

1. Kirim Sejumlah Besar Permintaan yang melakukan operasi basis data dan mengamati setiap Perlambatan dan Pesan Kesalahan Baru.

2.Lakukan analisis kode sumber manual dan kirimkan berbagai panjang input yang bervariasi ke aplikasi

3.Test untuk serangan wildcard SQL untuk pengujian informasi aplikasi. Jaringan Perusahaan harus memilih layanan pencegahan Serangan DDoS terbaik untuk memastikan perlindungan serangan DDoS dan mencegah jaringan mereka

4. Test for User menentukan alokasi objek apakah jumlah maksimum objek yang dapat ditangani aplikasi.

5. Masukkan Ekstrim Jumlah besar bidang input yang digunakan oleh aplikasi sebagai Loop counter. Lindungi situs web dari serangan di masa mendatang. Juga Periksa Perusahaan Anda Biaya Downtime Serangan DDOS.

6. Gunakan script untuk secara otomatis mengirimkan nilai yang sangat panjang untuk server dapat login permintaan.

Pelajari: Selesaikan Lanjutan Kursus Pengujian Penetrasi & Peretasan Web – Gores untuk Maju

Baca juga:

Daftar Periksa Pengujian Penetrasi Server Web

Metode pengujian penetrasi ATM tingkat lanjut

Pengujian penetrasi dengan Situs WordPress

Daftar Periksa Pengujian Penetrasi Jaringan

Daftar periksa Aplikasi Android pengujian penetrasi

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.