Samurai

De Samurai Web Testing Framework is een Linux Live CD inclusief de top testen webapplicatie testtools.
De Samurai Web Toetsingskader is een live linux omgeving die is pre-geconfigureerd om te functioneren als een web pen-testomgeving. De CD bevat de beste van de open source en gratis tools die zich richten op het testen en het aanvallen van websites. Bij de ontwikkeling van deze omgeving, hebben we op basis van onze tool selectie op de instrumenten die we gebruiken in onze beveiliging praktijk. Er zijn onder meer de instrumenten die gebruikt worden in alle vier stappen van een web-pen-test.
Developer reacties
Beginnend met verkenning, hebben we instrumenten opgenomen, zoals de Fierce domeinnaam scanner en Maltego. Voor het in kaart brengen, hebben we opgenomen tools zoals WebScarab en ratproxy. Vervolgens hebben we gekozen voor gereedschappen voor ontdekking. Dit zou onder andere w3af en burp. Voor de exploitatie, de laatste fase, inclusief we rundvlees, AJAXShell en nog veel meer. Deze CD bevat ook een pre-geconfigureerde wiki, opgezet om het centrale informatiesysteem winkel tijdens uw pen-test.
De meeste penetratie tests zijn gericht op zowel aanvallen netwerk of webapplicatie aanvallen. Gezien deze scheiding, vele pen testers zich hebben begrijpelijkerwijs volgden, gespecialiseerd in een soort test of de andere. Hoewel een dergelijke specialisatie is een teken van een levendige, gezonde penetratie testen industrie, onderzoek gericht op slechts één van deze aspecten van een doel milieu vaak de echte business risico's van kwetsbaarheden ontdekt en uitgebuit door vastberaden en ervaren aanvallers missen. Door het combineren van web app aanvallen, zoals SQL-injectie, cross-site scripting en Remote File Inclusief met aanvallen op het netwerk, zoals port scanning, service compromis, en client-side exploitatie, de slechteriken zijn aanzienlijk meer dodelijk. Penetratie testers en de bedrijven die gebruik maken van hun diensten nodig hebben om deze gemengde aanvallen begrijpen en hoe om te meten of ze kwetsbaar zijn voor hen. Deze sessie geeft praktische voorbeelden van penetratie tests die dergelijke aanvalsvectoren te combineren, en real-world advies voor het uitvoeren van dergelijke testen tegen je eigen organisatie.