如果做 web 渗透检测? fecshop 是一个开源商城产品,想做下 web 渗透检测
terrywater · 2018-06-07 12:18:48 +08:00 · 3768 次点击这是一个创建于 2348 天前的主题,其中的信息可能已经有所发展或是发生改变。
fecshop 是一个开源商城产品
github 地址: https://github.com/fecshop/yii2_fecshop
如果做 web 渗透检测?想做下 web 渗透检测
求大家推荐一下,360 的检测好像一般,求大家推荐下
 |
1
terrywater OP 求推荐
|
 |
2
nine99 2018-06-07 13:35:39 +08:00
预算多少
|
 |
3
ihacku 2018-06-08 07:07:03 +08:00 via iPhone
https://xianzhi.aliyun.com 可以看下阿里云先知上的众测、代码审计
|
|
4
terrywater OP @nine99 你会做?哎开源的商城,没多少票子
|
 |
5
annt123 2018-06-08 11:49:48 +08:00
一般分为白盒和黑盒,白盒做代码审计,黑盒做渗透测试,一起做挺好的。白盒的话得找人,黑盒的话,一大堆 SRC 平台,像漏洞盒子众测,补天众测之类的。
|
 |
6
woaihao520 2018-06-08 12:36:10 +08:00
找个 fottify 破解版,或者问人要个 checkmarx 账号
|
 |
7
hu5ky 2018-06-08 21:20:15 +08:00
,,钱才是动力啊,都没报价表吗?
|
 |
8
qiudays 2018-06-09 11:21:00 +08:00
那是代码审计吧。。
|
 |
9
yw9381 2018-06-17 10:18:28 +08:00 via Android
有偿还是无偿。这你得先讲清楚嘛
做都好说。你这是开源商城。说白了就是白盒审计。 感觉你的描述里对 Web 渗透有点误解。另外代码层的东西。杀软可是没办法检测的。有专业的审计工具。但是依然还是得结合人工分析 |
|
10
terrywater OP |
|
11
yw9381 2018-06-21 02:21:53 +08:00 via Android
@terrywater 简单来说。首先得懂代码懂数据库。然后懂常见的各类 Web 漏洞成因。例如 SQL 注入。XSS。上传。越权。任意文件读写。未授权访问等等。尤其是这些漏洞在代码层面是个什么样子。你可以下载个 dvwa 看看有漏洞的代码什么样子。怎样写这个功能才没有问题等等。
|
Select Language