2019测试指南-web应用程序安全测试(一)

原创
2019/03/04 09:48
阅读数 494

什么是Web应用程序安全测试?
安全测试是通过有条不紊地验证和验证应用程序安全控制的有效性来评估计算机系统或网络的安全性的方法。Web应用程序安全性测试仅侧重于评估Web应用程序的安全性。该过程涉及对应用程序的任何弱点,技术缺陷或漏洞进行主动分析。发现的任何安全问题都将提交给系统所有者,同时评估影响,缓解建议或技术解决方案。


什么是漏洞?
漏洞是系统设计,实施,运营或管理中的缺陷或弱点,可被利用来破坏系统的安全目标。


什么是威胁?
威胁是指任何东西(恶意外部攻击者,内部用户,系统不稳定等),它可能通过利用一个应用程序拥有的资产(有价值的资源,如数据库或文件系统中的数据)来损害漏洞。


什么是测试?
测试是一种行为,用于证明应用程序满足其利益相关者的安全要求。


编写本指南的方法

OWASP方法是开放和协作的:

  • 开放:每个安全专家都可以参与项目中的经验。一切都是免费的。
  • 协作:在撰写文章之前进行头脑风暴,以便团队可以分享想法并形成项目的集体愿景。这意味着粗略的共识,更广泛的受众和更多的参与。


这种方法倾向于创建一个定义的测试方法,它将是:

  • 一贯
  • 可重复
  • 严格
  • 在质量控制下


要解决的问题已经完整记录和测试。使用方法测试所有已知漏洞并记录所有安全测试活动非常重要。


什么是OWASP测试方法?

安全测试永远不会是一个精确的科学,可以定义应测试的所有可能问题的完整列表。实际上,安全测试只是在某些情况下测试Web应用程序安全性的适当技术。该项目的目标是收集所有可能的测试技术,解释这些技术,并保持指南更新。OWASP Web应用程序安全测试方法基于黑盒方法。测试人员一无所知,或者关于要测试的应用程序的信息很少。


测试模型包括:

  • 测试人员:谁执行测试活动
  • 工具和方法:本测试指南项目的核心
  • 应用:要测试的黑匣子


测试分为两个阶段:

  • 第1阶段被动模式:

在被动模式下,测试人员尝试了解应用程序的逻辑并使用应用程序。工具可用于收集信息。例如,HTTP代理可用于观察所有HTTP请求和响应。在此阶段结束时,测试人员应该了解应用程序的所有访问点()(例如,HTTP标头,参数和cookie)。信息收集部分介绍了如何执行被动模式测试。

例如,测试人员可以找到以下内容:

https://www.example.com/login/Authentic_Form.html

这可以指示应用程序请求用户名和密码的认证表单。 


以下参数表示应用程序的两个访问点(门):

http://www.example.com/Appx.jsp?a=1&b=1


在这种情况下,应用程序显示两个门(参数a和b)。在这个阶段发现的所有门代表了一个测试点。带有应用程序目录树和所有访问点的电子表格对第二阶段非常有用。

 

  • 阶段2活动模式:

在此阶段,测试仪开始使用以下部分中描述的方法进行测试。


这组活动测试分为11个子类别,总共91个控件:

  • 信息收集
  • 配置和部署管理测试
  • 身份管理测试
  • 认证测试
  • 授权测试
  • 会话管理测试
  • 输入验证测试
  • 错误处理
  • 加密
  • 业务逻辑测试
  • 客户端测试
展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部