¿Cuál es la diferencia entre “pruebas de penetración web” y “pruebas de penetración de aplicaciones web”?

Navega tus respuestas
2

Decidí comenzar a aprender "pruebas de penetración de aplicaciones web". Pero mientras estoy aprendiendo, encuentro que hay otro término "pruebas de penetración de la web". ¿Alguien puede decirme cuál es la diferencia entre ambos?

    
pregunta r00t_xx 09.01.2018 - 14:03
fuente

1 respuesta

6

Para un cliente con el que trato, la distinción ha sido:

  • "pruebas de penetración web" está probando la seguridad de un servidor web configurado para la producción (por ejemplo, RHEL 7.4 con SELinux en modo de ejecución ejecutando Apache HTTPD 2.4 al frente de un servidor Tomcat con dos servlets en la misma máquina donde httpd está escuchando en el puerto 443 para todo el tráfico y Tomcat está escuchando en el puerto 8443 solo para el tráfico de localhost e iptables está bloqueando el acceso externo al puerto 8443). Esto busca vulnerabilidades en la configuración general del servidor.
  • "pruebas de penetración de la aplicación web" está probando la seguridad del diseño y la configuración de la aplicación web en sí misma, a falta de otras protecciones en las que pueda confiar. Del ejemplo anterior, esto significaría que las pruebas de penetración del servidor Tomcat y los servlets después de permitir deliberadamente el tráfico a través de iptables en el puerto 8443 y deshabilitar SELinux. Esto busca vulnerabilidades en la propia aplicación que podrían ser total, parcialmente o no mitigadas, según la configuración del servidor en el que se ejecuta.
respondido por el Randall 09.01.2018 - 16:43
fuente

Lea otras preguntas en las etiquetas

¿Puedo forzar contraseñas únicas para cuentas de administrador de dominio? ¿Podría aprovecharse Meltdown / Specter desde C # / .Net (u otros idiomas administrados o el sistema operativo Midori)?