テスト/Paros のバックアップソース(No.2)

バックアップ一覧
差分を表示
現在との差分を表示
バックアップを表示
テスト/Paros へ行く。
- 1 (2010-04-11 (日) 12:24:32)
- 2 (2010-04-11 (日) 14:45:17)
- 3 (2010-04-11 (日) 19:23:41)

使ってていろいろ気をつけたいことのメモ
随時更新。

** 準備編 [#gd4ef264]

- とりあえず時間がかかるので範囲はできるだけ絞ってこまめ目に実施すべし
- SpiderはJSが解釈できないので当てにならない
- 手動で全パラメータがサーバーに飛ぶようなケースを教えてあげる必要あり(自分でHTMLをパースしてパラメータを類推したりすることはないっぽい)
- Analyze -> Scan Policy で、今回はSQL Injectionのみ、のようにチェックする内容を制限することで範囲を絞るべし
- 今回はトップの検索だけ、とかのようにテスト対象のコンテンツも絞るべし
- JavaScriptとか、画像とかCSSとかに対してもSQL Injectionなどをテストしてしまう。無駄なので、これらも「Purge(from DB)」で削除しておくべし
- /?xxx=bbb のようなページはなぜかscan対象にしてくれない。なぜだろう。 /xxx?yyy=zzz のように一時的にでもURLを変更すべし


** テスト中注意すること [#h06b756c]

- 回線が切断されたりしないこと。切断されると、すべて完了しました、みたいに出て終了してしまう
- 開発をとめておくこと。開発の影響でエラーがでるとscanの結果がおかしくなる
- 同様にDBデータの再構築などもできない。
- 一回テスト完了後、Scan Policyを変えたり、ファイルをOpenで読み直したり、別ファイルに保存しなおしたりして、再度テストを実施しても、何も起きない。Parosを再起動し、新しくセッションを作り直すところからやると、テストしてくれるみたい。意味不明。

- 


#blikifooter(志田)

アークウェブシステム開発SandBox

アークウェブのサービスやソリューションはこちら