如何对微服务进行笔测试/安全测试?
问题描述:
想要测试微服务的安全要求,并做了一些谷歌,并发现了一些很好的博客,例如URL:https://www.imbalife.com/sql-injection。如何对微服务进行笔测试/安全测试?
Eg.SQL注入漏洞漏洞。 inurl:index.php?id =
如何测试URL是否没有任何PHP的东西。并检查漏洞。 我是这个安全测试领域的新手。请帮帮我。
谢谢
答
这是相同的概念,即使它是另一种技术。
这个想法是测试系统中的多个漏洞。通常你会想测试和控制应用程序中的所有输入。最严重的漏洞是代码注入攻击(SQL,命令,客户端代码等),也不排除其他许多漏洞。 您还想测试逻辑安全漏洞,例如某些应用程序功能未正确实施(例如,身份验证/授权机制,包括用户密码恢复或帐户注册等)。
我强烈建议您请通过OWASP Top 10列表并检查其最佳安全编码实践的准则,以及如何避免和防止此类攻击。考虑到你提到了对微服务的测试,为此我想他们是某种REST API,然后把重点放在API安全问题上。
仍然是相同的方法,您可以通过尝试在任何用户输入中创建SQL代码来测试SQLi。无论是URL查询参数还是post/put/delete ..主体参数 –