Samurai

Il Samurai Web Testing Framework è un Live CD di Linux tra cui gli strumenti di test test delle applicazioni web top.
Il Samurai Web Testing Framework è un ambiente Linux Live che è stato pre-configurato per funzionare come un ambiente web penna-testing. Il CD contiene il meglio della open source e strumenti gratuiti che si concentrano sui test e siti web attaccanti. Nello sviluppo di questo ambiente, abbiamo basato la nostra selezione strumento sugli strumenti che usiamo nella nostra pratica di sicurezza. Sono stati inclusi gli strumenti utilizzati in tutte le quattro fasi di una penna-test web.
Commenti sviluppatori
A partire da ricognizione, abbiamo incluso strumenti come lo scanner dominio feroce e Maltego. Per la mappatura, abbiamo incluso strumenti quali WebScarab e ratproxy. Abbiamo quindi scelto di strumenti per la scoperta. Questi includerebbero w3af e rutto. Per lo sfruttamento, la fase finale, abbiamo incluso manzo, AJAXShell e molto altro ancora. Questo CD contiene anche un wiki preconfigurato, impostato per essere il informazioni archivio centrale durante la vostra penna-test.
La maggior parte dei test di penetrazione sono focalizzati su entrambi gli attacchi di rete o attacchi alle applicazioni web. Dato questa separazione, molti tester penna si sono comprensibilmente seguito l'esempio, specializzato in un tipo di prova o l'altro. Mentre tale specializzazione è un segno di una vivace, industria test di penetrazione sano, test focalizzati su uno solo di questi aspetti di un ambiente di destinazione spesso mancano i rischi aziendali reali di vulnerabilità scoperte e sfruttate dagli attaccanti determinati e qualificati. Grazie alla combinazione di attacchi web app, come SQL injection, cross-site scripting, e Remote File Include con attacchi di rete, come la scansione delle porte, il compromesso di servizio, e lo sfruttamento lato client, i cattivi sono molto più letali. Penetration tester e le imprese che usano i loro servizi hanno bisogno di capire questi attacchi misti e su come misurare se sono vulnerabili a loro. Questa sessione fornisce esempi pratici di test di penetrazione che combinano tali vettori di attacco, e consigli del mondo reale per lo svolgimento di tali prove contro la propria organizzazione.