使ってていろいろ気をつけたいことのメモ
随時更新。

** 準備編 [#gd4ef264]

- とりあえず時間がかかるので範囲はできるだけ絞ってこまめ目に実施すべし
- SpiderはJSが解釈できないので当てにならない
- 手動で全パラメータがサーバーに飛ぶようなケースを教えてあげる必要あり(自分でHTMLをパースしてパラメータを類推したりすることはないっぽい)
- Analyze -> Scan Policy で、今回はSQL Injectionのみ、のようにチェックする内容を制限することで範囲を絞るべし
- 今回はトップの検索だけ、とかのようにテスト対象のコンテンツも絞るべし
- JavaScriptとか、画像とかCSSとかに対してもSQL Injectionなどをテストしてしまう。無駄なので、これらも「Purge(from DB)」で削除しておくべし
- /?xxx=bbb のようなページはなぜかscan対象にしてくれない。なぜだろう。 /xxx?yyy=zzz のように一時的にでもURLを変更すべし


** テスト中注意すること [#h06b756c]

- 回線が切断されたりしないこと。切断されると、すべて完了しました、みたいに出て終了してしまう
- 開発をとめておくこと。開発の影響でエラーがでるとscanの結果がおかしくなる
- 同様にDBデータの再構築などもできない。
- 一回テスト完了後、Scan Policyを変えたり、ファイルをOpenで読み直したり、別ファイルに保存しなおしたりして、再度テストを実施しても、何も起きない。Parosを再起動し、新しくセッションを作り直すところからやると、テストしてくれるみたい。意味不明。

- 


#blikifooter(志田)

トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS

アークウェブのサービスやソリューションはこちら