GoldenLine
Zaloguj się

konto usunięte

Temat: testowanie aplikacji

Czy jest jakiś soft do testowania aplikacji napisanych w php? Jeśli tak, to jaki byście polecili?
Link do wypowiedziLink
Tomasz Zadora

Tomasz Zadora programuję

Temat: testowanie aplikacji

Może napisz trochę konkretniej co chcesz przetestować. Są np. profilery do testowania wydajności, ale można też testować inne rzeczy.
Link do wypowiedziLink
Łukasz C.

Łukasz C. Senior Technical
Architect

Temat: testowanie aplikacji

ja stosuje kombinacje: phpunit + selenium + hudson
Link do wypowiedziLink

konto usunięte

Temat: testowanie aplikacji

Tomasz Zadora:
Może napisz trochę konkretniej co chcesz przetestować. Są np. profilery do testowania wydajności, ale można też testować inne rzeczy.

Chciałbym testować sprawy związane z bezpieczeństwem, np. żeby się uchronić przed sql injection .
Link do wypowiedziLink
Wojciech Sznapka

Wojciech Sznapka CTO @ STS Zakłady
Bukmacherskie

Temat: testowanie aplikacji

mam wrażenie że nie wiesz o czym piszesz...
Link do wypowiedziLink
Łukasz C.

Łukasz C. Senior Technical
Architect

Temat: testowanie aplikacji

Dariusz Grochocki:
Chciałbym testować sprawy związane z bezpieczeństwem, np. żeby się uchronić przed sql injection .

testy jednostkowe
Link do wypowiedziLink

konto usunięte

Temat: testowanie aplikacji

Łukasz Cepowski:
Dariusz Grochocki:
Chciałbym testować sprawy związane z bezpieczeństwem, np. żeby się uchronić przed sql injection .

testy jednostkowe

czyli próbować samemu wykonać taki atak? :)

http://www.securitum.pl/baza-wiedzy/publikacje/sql-inj...
Link do wypowiedziLink
Łukasz C.

Łukasz C. Senior Technical
Architect

Temat: testowanie aplikacji

tak i nie,

ogolnie jezeli kod twojej aplikacji jest dobrze napisany powinnien nadawac sie do testowania jednostkowego, czyli jak masz tam jakas warstwe lub model ktory np: generuje jakies zapytanie sql, to powiniennes napisac klase ktora sprawdza ten fragment kodu czyli poprostu podaje rozne krytyczne dane na wejscie i oczekuje ze to co zostanie zapisane w bazie bedzie poprawne i bezpieczne, im wiecej przypadkow atakow sql injection pokryjesz testem tym mmniejsze prawdpodobienstwo ze bedzie tam blad.

swoja droga uzywanie prepared statements powinno zmniejszyc ryzyko dziury podatnej na sql injection
Link do wypowiedziLink

konto usunięte

Temat: testowanie aplikacji

jak chcesz się zabezpieczyć przed SQL Injection stosuj Prepared statment
http://php.net/manual/en/pdo.prepared-statements.php
lub
http://php.net/manual/en/mysqli.prepare.php
Link do wypowiedziLink
Tomasz Zadora

Tomasz Zadora programuję

Temat: testowanie aplikacji

Ogólnie "prepare statement" to dobre rozwiązanie, czasem jednak nie.

W momencie kiedy generujemy SQL bardzo dynamicznie, może okazać się, że łatwiej i wygodniej jest używać "klasycznych" funkcji (np. mysql) które egzekwują SQL, a wartości filtrować przez odpowiednie funkcje, np. w przypadku mysql:

http://pl.php.net/manual/en/mysqli.real-escape-string.php
http://pl.php.net/manual/en/function.mysql-real-escape...
Link do wypowiedziLink

konto usunięte

Temat: testowanie aplikacji

Tomasz Zadora:
Ogólnie "prepare statement" to dobre rozwiązanie, czasem jednak nie.

W momencie kiedy generujemy SQL bardzo dynamicznie, może okazać się, że łatwiej i wygodniej jest używać "klasycznych" funkcji (np. mysql) które egzekwują SQL, a wartości filtrować przez odpowiednie funkcje, np. w przypadku mysql:

http://pl.php.net/manual/en/mysqli.real-escape-string.php
http://pl.php.net/manual/en/function.mysql-real-escape...
Oraz dla PDO:
http://php.net/manual/en/pdo.query.php
http://www.php.net/manual/en/pdo.quote.php
Link do wypowiedziLink

konto usunięte

Temat: testowanie aplikacji

dziękuję za podpowiedzi. teraz spróbuję te wszystkie strony przeczytać ;)
Link do wypowiedziLink
Michał Sajdak

Michał Sajdak Securitum.

Temat: testowanie aplikacji

Dariusz Grochocki:
Łukasz Cepowski:
Dariusz Grochocki:
Chciałbym testować sprawy związane z bezpieczeństwem, np. żeby się uchronić przed sql injection .

testy jednostkowe

czyli próbować samemu wykonać taki atak? :)

http://www.securitum.pl/baza-wiedzy/publikacje/sql-inj...

Jeśli chodzi o w miarę tani (i dobry) soft do testów bezpieczeństwa to polecam burpa pro:

http://www.securitum.pl/baza-wiedzy/publikacje/burp-su...

Warto też pamiętać że na sql injection nie kończą się rzeczy związane z bezpieczeństwem. OS command injection, XSS, XSRF, authorization/authentication bypass, path traversal, ldap injection, xpath injection...można by tak długo ;-)

Na start polecam też:

http://owasptop10.googlecode.com/files/OWASP%20Top%201...
http://www.owasp.org/images/5/56/OWASP_Testing_Guide_v...
Link do wypowiedziLink

konto usunięte

Temat: testowanie aplikacji

Ja dodam jeszcze te z którymi się zetknąłem:

- SQL Inject Me, XSS Me, Access Me - https://addons.mozilla.org/en-US/firefox/user/1792636
- Cenzic HailStorm - http://www.cenzic.com
- Wapiti - http://wapiti.sourceforge.net
- Acunetix Web Security Scanner - http://www.acunetix.com
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Testowanie obiektow zalezny...




Wyślij zaproszenie do
Anuluj