「Web サイトのセキュリティ脆弱性の識別とテスト」に関する学部の研究論文を書いています。最初は、SQL インジェクション、クロスサイト スクリプティング、エラー レポート、セッション ハイジャック、入力検証など、選択したいくつかの脆弱性のみをテストするという方法論で指定していたので、手動でテストしようと考えていました。しかし、調査を続けると、すべての記事とチュートリアルが推奨するソフトウェアであることがわかりました。
私の仲間が管理しているウェブサイトはほとんどないので、彼らのサイトでテストを行いたい. 6 つの Web サイトでいくつかの脆弱性をチェックしています。侵入テスト ツールを使用するべきですか、それともソフトウェアを使用せずに動的侵入テストを行うべきですか?
それはすべてあなたが望むものに要約されます。Burp Suiteは手動ペンテスト ツールであり、ペン テストを効率的に実行できるオンラインの優れたコミュニティとリソースを備えています。
Acunetix Web Vulnerability Scannerなどの自動 Web アプリケーション スキャナーを試してみることをお勧めします。これには、手動の侵入テスト ツールとサイトの自動クロールおよびスキャンも付属しています (これは素晴らしい IMO です)。また、14日間の無料試用版も提供しており、目的には十分すぎるはずです.
ペンテストは、前述のように自動化されたソフトウェア ツールから開始し、アプリケーションを効果的にテストできるように手動で強化する必要があると常に考えています。
それを行う正しい方法も間違った方法もありませんが、上記の方法は多くの人が選択するものです. Dafydd Stuttard と Marcus Pinto による Hacker's Handbook もお読みください。これにより、Web アプリケーション、それらに侵入する方法、およびそれらを保護する方法についての優れた概要が得られます。
NmapやOpenSSLなどのユーティリティ ツールを利用して、アプリケーション内の脆弱性を確認または発見することができます。
私が個人的に好きでお勧めする Web 脆弱性スキャナーはPunk Spider スキャナーです。これは、XSS、SQL インジェクション、SQLI 脆弱性、不適切に構成された PHP コード、脆弱な認証システムなどを検出します。