Тест на проникновение в Spring Security

Question

Какие есть документы или ссылки, которые описывают переданную ошибку, которая превращается в уязвимости Spring Security, и как можно попытаться взломать фреймворк?

В основном меня интересует, как обойти вход в систему и авторизацию среды безопасности Spring. Любая техника, которая помогла бы мне создать автоматизированные тесты на проникновение, была бы очень полезна.

Несовместимый дополнительный комментарий (хотелось бы узнать ваше мнение по этому поводу):

Одна особенность, которую я бы сделал фреймворком, это запрет на IP-адреса, которые превышают дневной лимит запросов или даже лучше лимит запросов в час. До сих пор я делал его на устройствах Cisco ASA или IPS, но было бы очень полезно иметь объединенный журнал событий приложений вместе с Spring Security.

Любая информация по этому вопросу будет принята с благодарностью.

Answer 1

XSS-эксплойты - один из самых печально известных, но вы, вероятно, пробовали их.Проверьте OWASP Top 10 (Google, пожалуйста).Вы можете попробовать все это.

Кроме того, для блокировки запросов это кажется очень хорошей идеей, пока вы не поймете тот факт, что необработанные сокеты позволяют любому, даже удаленно опытному хакеру, подделывать свой IP.Я думаю, вы могли бы проверить IP-адрес (поскольку во многих случаях сценарий, используемый для атаки на страницу, не имел действительного IP-адреса, поскольку они генерировались бы случайным образом), но веб-сайты все равно достаточно медленные, и как только вы это сделаетевы все равно были бы уязвимы для немного более сложных атак, использующих базы данных IP.

Кроме того, проверьте Metasploit , он ОЧЕНЬ прост в использовании и должен быстро доставить вас в дорогу.Вы также можете создавать сценарии тестирования на проникновение, поэтому после развертывания обновления просто запустите сценарий Ruby, и он должен проверить его на наличие дыр.