セキュリティテストに使用される方法とテクニック

セキュリティテストは、のような多くの方法で実行できます。

oBlackボックスレベル
oWhiteボックスレベル
ODatabaseのレベル

ブラックボックスレベル

ジャックoSession

セッションは、一般的にユーザーセッションが保護されたネットワーク上で攻撃される "IPスプーフィング"と呼ばれるハイジャック。

oSession予測

セッションの予測データを取得するメソッドまたは承認されたユーザーのセッションIDで、アプリケーションへのアクセスを取得します。 WebアプリケーションでセッションIDはCookieまたはURLから取得することができます。

ウェブサイトが正常に応答するか不明な理由で応答を停止されていない場合にセッション予測出来事を予測することができます。

oEmailスプーフィング

メールスプーフィングとは、実際のソースに由来するとメールが返信された場合、それが受信トレイにスパム送信者に着陸する予定に見えるように電子メールのヘッダ（ "From"アドレス）複製されています。ヘッダにコマンドを挿入することによって、メッセージ情報を変更することができます。それはあなたが書いていない情報を偽装した電子メールを送信することが可能です。

oContentスプーフィング

コンテンツのなりすまし、偽のウェブサイトを開発し、ユーザーが情報やウェブサイトが本物であることを信じさせるためのテクニックです。詐欺目的の場合、ユーザーが自分のクレジットカード番号、パスワード、SSNと他の重要な詳細を入力するとハッカーがデータを取得し、使用することができます。

oPhishing

フィッシング詐欺、ハッカーがユーザーの個人情報や財務情報を取得しようとメールのような本物の外観の送信先をスプーフィングをメールに似ています。メールはよく知られているウェブサイトから来ているように見えます。

oPasswordクラッキング

パスワードクラッキングは、未知のパスワードを識別するために、または忘れたパスワードを識別するために使用され

パスワードクラッキングは、2つの方法を通じて行うことができます

1。ブルートフォース - ハッカーは、長さ内の文字の組み合わせを試み、それが受け入れてもらうされるまで試行します。
2。パスワード辞書 - ハッカーは、それが様々なトピックで使用可能なパスワードの辞書を使用しています。

ホワイトボックスレベル

oMaliciousコードインジェクション

SQLインジェクション、コードインジェクション攻撃の中で最も人気があり、ハッカーがアプリケーション内でフィールドを挿入することで、良いコードに悪意のあるコードを添付してください。注入の背後にある動機は、一連のユーザーによって使用されることを意図したセキュリティで保護された情報を盗むことです。

別にSQLインジェクションから、悪意のあるコードインジェクションの他のタイプは、XPathインジェクション、LDAPインジェクション、およびコマンド実行インジェクションです。 SQLインジェクションと同様に、XML文書のXPathインジェクションを扱います。

oPenetrationテスト

侵入テストは、コンピュータやネットワークのセキュリティを確認するために使用されています。テストプロセスは、システムのすべてのセキュリティの側面を検討し、システムに侵入しようとします。

oInput検証

入力検証は、ハッカーからアプリケーションを守るために使用されています。入力は、Webアプリケーションではほとんど検証されていない場合、それはシステムがクラッシュし、データベース操作と破損につながる可能性があります。

oVariable操作

変数の操作は、プログラム内の変数を指定するか、または編集するための方法として使用されます。それは主にWebサーバに送信されるデータを変更するために使用されています。

データベースレベル

OSQLインジェクション

SQLインジェクションは、このテクニックを使用して、バックエンドのSQL文を変更することにより、ウェブサイトをハッキングするために使用されるハッカーは、データベースからデータを盗み、また、それを削除し、変更することができます。...