2、OWASP测试框架

许多安全从业人员对安全测试的认识仍停留在渗透测试的范围
测试框架:

  • 开发开始前进行测试
  • 定义和设计过程中进行测试
  • 开发过程中进行测试
  • 部署过程中进行测试
  • 维护和运行
  1. 开发开始前进行测试
  • 定义一个SDLC
  • 审查策略和标准
  • 开发衡量标准及指标(保证可追溯)
  1. 定义和设计过程中进行测试
  • 安全需求审查
  • 设计和架构审查
  • 创建并审查UML模型
  • 创建并审查威胁模型
  1. 开发过程中进行测试
  • 代码浏览
  • 代码审查
  1. 部署过程中进行测试
  • 应用程序渗透测试
  • 配置管理测试
  1. 维护和运行
  • 进行操作管理审查
  • 进行定期的健康状态检查
  • 确保变更验证

典型的SDLC测试工作流

3、Web应用安全测试

Web渗透测试方法论12个子类:

1. 简介与目标

2. 信息收集

3. 配置以及部署管理测试

4. 身份鉴别管理测试

5. 认证测试

6. 授权测试

7. 会话管理测试

8. 输入验证测试

9. 错误处理测试

10. 密码学测试

11. 业务逻辑测试

12. 客户端测试

简介与目标

  • 什么是Web应用安全测试
    通过检验和验证应用安全控制评估计算机系统或网络系统安全性的方法。
  • 什么是漏洞
    系统设计、实现或操作管理中可以被利用的缺陷或弱点,能够破坏系统安全策略。
  • 什么是威胁
    利用漏洞产生的潜在攻击,可能危害应用资产
  • 什么是测试
    验证应用的安全需求与利益相符合的行为
  • 什么是OWASP测试方法论
    • 测试模型
      测试者:执行测试的人员
      工具和方法:指导测试项目的核心
      应用:用于测试的黑盒
    • 阶段1:被动模式
      理解应用的逻辑、控制点等
    • 阶段2:主动模式
      以下的11个子类99项测试

发表评论

电子邮件地址不会被公开。 必填项已用*标注