文档章节

2019测试指南-web应用程序安全测试(一)

猪鼻子插葱
 猪鼻子插葱
发布于 03/04 09:48
字数 1130
阅读 51
收藏 0

什么是Web应用程序安全测试?
安全测试是通过有条不紊地验证和验证应用程序安全控制的有效性来评估计算机系统或网络的安全性的方法。Web应用程序安全性测试仅侧重于评估Web应用程序的安全性。该过程涉及对应用程序的任何弱点,技术缺陷或漏洞进行主动分析。发现的任何安全问题都将提交给系统所有者,同时评估影响,缓解建议或技术解决方案。


什么是漏洞?
漏洞是系统设计,实施,运营或管理中的缺陷或弱点,可被利用来破坏系统的安全目标。


什么是威胁?
威胁是指任何东西(恶意外部攻击者,内部用户,系统不稳定等),它可能通过利用一个应用程序拥有的资产(有价值的资源,如数据库或文件系统中的数据)来损害漏洞。


什么是测试?
测试是一种行为,用于证明应用程序满足其利益相关者的安全要求。


编写本指南的方法

OWASP方法是开放和协作的:

  • 开放:每个安全专家都可以参与项目中的经验。一切都是免费的。
  • 协作:在撰写文章之前进行头脑风暴,以便团队可以分享想法并形成项目的集体愿景。这意味着粗略的共识,更广泛的受众和更多的参与。


这种方法倾向于创建一个定义的测试方法,它将是:

  • 一贯
  • 可重复
  • 严格
  • 在质量控制下


要解决的问题已经完整记录和测试。使用方法测试所有已知漏洞并记录所有安全测试活动非常重要。


什么是OWASP测试方法?

安全测试永远不会是一个精确的科学,可以定义应测试的所有可能问题的完整列表。实际上,安全测试只是在某些情况下测试Web应用程序安全性的适当技术。该项目的目标是收集所有可能的测试技术,解释这些技术,并保持指南更新。OWASP Web应用程序安全测试方法基于黑盒方法。测试人员一无所知,或者关于要测试的应用程序的信息很少。


测试模型包括:

  • 测试人员:谁执行测试活动
  • 工具和方法:本测试指南项目的核心
  • 应用:要测试的黑匣子


测试分为两个阶段:

  • 第1阶段被动模式:

在被动模式下,测试人员尝试了解应用程序的逻辑并使用应用程序。工具可用于收集信息。例如,HTTP代理可用于观察所有HTTP请求和响应。在此阶段结束时,测试人员应该了解应用程序的所有访问点()(例如,HTTP标头,参数和cookie)。信息收集部分介绍了如何执行被动模式测试。

例如,测试人员可以找到以下内容:

https://www.example.com/login/Authentic_Form.html

这可以指示应用程序请求用户名和密码的认证表单。 


以下参数表示应用程序的两个访问点(门):

http://www.example.com/Appx.jsp?a=1&b=1


在这种情况下,应用程序显示两个门(参数a和b)。在这个阶段发现的所有门代表了一个测试点。带有应用程序目录树和所有访问点的电子表格对第二阶段非常有用。

 

  • 阶段2活动模式:

在此阶段,测试仪开始使用以下部分中描述的方法进行测试。


这组活动测试分为11个子类别,总共91个控件:

  • 信息收集
  • 配置和部署管理测试
  • 身份管理测试
  • 认证测试
  • 授权测试
  • 会话管理测试
  • 输入验证测试
  • 错误处理
  • 加密
  • 业务逻辑测试
  • 客户端测试

© 著作权归作者所有

猪鼻子插葱
粉丝 1
博文 44
码字总数 172746
作品 0
崇明
高级程序员
私信 提问
2019测试指南-测试&测试原理

什么是测试? 在Web应用程序的开发生命周期中,需要测试许多东西,但测试实际上意味着什么?Merriam-Webster Dictionary将测试描述为: 进行测试或证明。 进行测试。 根据测试分配站立或评估...

猪鼻子插葱
02/27
88
0
2019测试指南-安全测试集成在开发和测试工作流程中

开发工作流程中的安全测试 SDLC开发阶段的安全测试代表了开发人员第一次有机会确保他们开发的各个软件组件在与其他组件集成并内置到应用程序之前进行了安全测试。软件组件可能包含软件工件,...

猪鼻子插葱
03/04
19
0
2019测试指南-推导安全测试要求

获得安全测试要求 要获得成功的测试程序,必须知道测试目标是什么。这些目标由安全要求指定。本节详细讨论了如何通过从适用的标准和法规以及正面和负面的应用程序要求中获取安全测试的要求来...

猪鼻子插葱
03/04
12
0
2019测试指南-安全测试数据分析和报告

安全测试指标和度量 的目标定义安全测试指标和度量的目标是将安全测试数据用于风险分析和管理流程的先决条件。例如,诸如安全测试中发现的漏洞总数之类的度量可能会量化应用程序的安全状态。...

猪鼻子插葱
03/04
30
0
2019测试指南-web应用程序安全测试(二)识别应用程序入口点

在进行任何全面测试之前,枚举应用程序及其攻击面是一个关键的前提,因为它允许测试人员识别可能的弱点区域。本节旨在帮助识别和绘制应用程序中应在枚举和映射完成后应进行调查的区域。 测试...

猪鼻子插葱
03/04
31
0

没有更多内容

加载失败,请刷新页面

加载更多

Spring Security 自定义登录认证(二)

一、前言 本篇文章将讲述Spring Security自定义登录认证校验用户名、密码,自定义密码加密方式,以及在前后端分离的情况下认证失败或成功处理返回json格式数据 温馨小提示:Spring Security...

郑清
38分钟前
3
0
php yield关键字以及协程的实现

php的yield是在php5.5版本就出来了,而在初级php界却很少有人提起,我就说说个人对php yield的理解 Iterator接口 在php中,除了数组,对象可以被foreach遍历之外,还有另外一种特殊对象,也就是继承...

冻结not
52分钟前
4
0
servlet请求和响应的过程

本文转载于:专业的前端网站➥servlet请求和响应的过程 1.加载 Servlet类被加载到Java虚拟机中,并且实例化。在这个过程中,web容器(例如tomcat)会调用Servlet类的公开无参构造函数,产生一...

前端老手
52分钟前
4
0
golang 1.13 errors 包来了,不用写“err 气功波”代码

引 这篇是对 errors 包 的姿势挖掘 气功波错误代码 从 http.Get()返回的错误 判断 syscall.ECONNREFUSED 错误.以前要对 go 标准库 error 结构有点熟悉,才能写出下面的代码 func CmdErr(err ...

guonaihong
55分钟前
29
0
喜玛拉雅已听书单

时间倒序排 书名 作者 状态 唐砖 孑与2 进行中 死灵之书(克苏鲁神话合集) 阿卜杜拉·阿尔哈萨德 进行中 赡养人类 刘慈欣 完结 赡养上帝 刘慈欣 完结 中国太阳 刘慈欣 完结 中国太阳 刘慈欣...

Alex_Java
57分钟前
6
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部