想要测试微服务的安全要求,做了一些谷歌搜索,找到了一些好的博客,例如URL:https://www.imbalife.com/sql-injection。
例如.SQL注射脆弱的笨蛋。inurl:index.php?id=
如何测试URL是否没有任何PHP内容。并检查漏洞。我是这个安全测试领域的新手。请帮助我。
谢谢
即使它是另一种技术,也是相同的概念。
这个想法是测试系统中的多个漏洞。通常,您需要测试和控制应用程序中的所有输入。最严重的漏洞是代码注入攻击(SQL、命令、客户端代码等),也不排除许多其他漏洞。您还需要测试逻辑安全漏洞,例如某些应用程序功能未正确实现(例如身份验证/授权机制,包括用户密码恢复或帐户注册等)。
我强烈建议您浏览OWASP Top 10列表,并检查其最佳安全编码实践指南以及如何避免和防止此类攻击。考虑到您提到了对微服务的测试,我认为它们是某种 REST API,然后更多地关注 API 安全问题。