如何攻击我自己的网站？

Question

我目前正在为一个包含 2 个页面的网站 (JSP) 的安全性工作：登录页面和数据页面。一旦用户登录，他就可以从具有只读访问权限的特定表中选择数据。

在线浏览安全风险后，我写下了我可能需要防范的一般清单

1. 注射
2. XSS
3. 身份验证/会话劫持
4. CSRF
5. 直接对象引用

目前，我正在阅读有关如何防御这些攻击以及我应该在代码中包含哪些内容的信息。但是，除非我自己测试这些攻击，否则我不会真正知道我的代码是否真的有效（即使那样，仍然可能有其他有效的攻击）。现在，我只想要一些安全性，因此我需要知道如何产生这些攻击，以便我可以在我的网站上尝试它们。

注入很简单，因为我只需在代码中执行 type '1'='1 即可发现它存在缺陷。然后我使用了准备好的语句，SQL 注入不再起作用了。

我怎样才能产生这些攻击的其余部分，以查看我的安全是否至少可以抵抗基本攻击？

（另外，是否有一些安全的网站或工具可以用来测试我的漏洞？）

Answer 1

我从您的列表中假设您正在查看Open Web Application Security Project Top Ten。好！

真的，我能给出的最好建议是通读 OWASP 网站。一个好的第一步是浏览该页面上的各个链接（例如Broken Authentication and Session Management）并检查“我是否容易受到攻击？”部分。以下是一些进一步的提示：

XSS

The XSS Cheat Sheet 在这里会很有帮助。比您动摇的示例更多，准备粘贴到您的网站中。

CSRF

OWASP 的 wiki 有一个 CSRF Testing Guide，里面有很多很棒的链接和建议。

身份验证/会话劫持

那么，您使用的是 HTTPS 吗？请参阅this answer 了解更多信息。

更多资源

如果您想深入了解并进行一些实际测试，您可以执行以下操作：

• 阅读Web Application Hacker's Handbook。
• 试试http://hackthissite.org 和Google Gruyere project 上的一些例子，看看你能不能闯入它们。
• 下载Kali Linux 并学习使用它附带的一些工具。
• 参加您附近的安全会议或小型会议并与其他信息安全人员联系。也许我会在那里见到你:)