Какие существуют способы обнаружения скриптов в программном коде?

Некоторые способы обнаружения скриптов в программном коде:

• Ручное тестирование. www.software-testing.ru codeby.net Можно найти все участки, в которые можно вставить скрипт, выбрать атаки и попробовать их на каждом участке. www.software-testing.ru Например, для выявления XSS-уязвимостей можно ввести произвольный код JavaScript в различные поля ввода на сайте, предварительно заключив его в теги <script>. codeby.net
• Просмотр кода. www.software-testing.ru Если есть доступ к коду приложения, можно определить наилучший способ создания атакующего скрипта. www.software-testing.ru Например, если код перечисляет запрещённые типы файлов, можно найти те, которые не запрещены явно, и посмотреть, можно ли загрузить скрипт, используя такие файлы. www.software-testing.ru
• Автоматизированный анализ уязвимостей. codeby.net Для этого используют специализированные инструменты, например:
• SQLmap. codeby.net Бесплатная утилита с открытым исходным кодом, предназначенная для автоматизации процесса обнаружения и эксплуатации SQL-инъекций. codeby.net После сканирования веб-приложения SQLmap предоставляет подробный отчёт о найденных уязвимых параметрах. codeby.net
• Burp Suite. codeby.net Профессиональный инструмент для комплексного тестирования веб-безопасности. codeby.net Бесплатная (Community) версия обладает достаточным функционалом для базовой проверки на SQLi путём перехвата и модификации HTTP-запросов. codeby.net
• OWASP ZAP. codeby.net Бесплатный и многофункциональный инструмент для аудита безопасности веб-приложений, включающий в себя активный и пассивный сканеры для обнаружения XSS. codeby.net