TesterCity

A place where software quality lives

Тестирование защищённости: на чём тренироваться?

Очевидно, что тестирование безопасности приложений (security testing) — важное и нужное направление, особенно если ваш сайт или приложение работает с важными данными (например, личные данные пользователей или финансовая информация). Однако также очевидно и то, что нарабатывать навыки в тестировании следует не создавая неудобств владельцам других сайтов (никогда не тестируйте безопасность не спросив разрешения владельцев сайта/приложения — это нарушение закона).

На чём же тренироваться? OWASP, сообщество исследователей безопасности приложений, взяло на себя миссию и собирает ссылки на:

  1. Онлайн-тренажёры тестирования безопасности
  2. Оффлайн-тренажёры тестирования безопасности
  3. Виртуальные машины с предустановленными приложениями для тестирования и тренажёрами. Это лучший вариант, на мой взгляд, тренироваться в виртуалке как в песочнице.

Кроме перечисленных ресурсов (по ссылкам выше), я бы посоветовал Kali Linux — специальную сборку Linux для тестировщиков защищённости, содержащую отличный набор инструментов практически для всех случаев и видов тестирования. Проект Kali также распространяет и образы виртуальных машин своей сборки, очень удобный вариант для работы — не нужно тратить время на установку.

Также обратите внимание на bug bounty программы различных сервисов. Многие компании заботятся о безопасности своих сайтов и предлагают вознаграждение за найденные уязвимости, таким образом разрешая и даже поощряя тестирование защищённости их веб-сайтов.