web安全测试设计----OWASP测试框架
来源:互联网 发布:跳跃表 java 编辑:程序博客网 时间:2024/05/15 14:06
web安全测试设计----OWASP测试框架
OWASP测试框架(来自OWASP测试指南)
注:
OWASP测试框架(来自OWASP测试指南)
一次偶然的机会,看到了OWASP出的测试指南。联想到2010年做的安全控件项目,真的想说,如果当时就有学习过《测试指南》,可能测试的效果
会更好,怎么当时就没有看到这本指南呢~。因为它详细描述了安全测试的具体步骤和操作方法,而当时我们测试的时候都是在前人基础上摸索着测。
OWASP测试框架:
第一阶段:开发开始前进行测试
第二阶段:定义和设计过程中进行测试
第三阶段:开发过程中进行测试
第四阶段:发展过程中进行测试
第五阶段:维护和运行
WEB应用渗透测试:
WEB应用渗透测试:
被动模式: 信息的收集;
主动模式(9个子类,66个控制项): 配置管理测试;业务逻辑测试;拒绝服务测试;认证测试;授权测试;WEB服务测试;会话管理测试;
主动模式(9个子类,66个控制项): 配置管理测试;业务逻辑测试;拒绝服务测试;认证测试;授权测试;WEB服务测试;会话管理测试;
数据验证测试;Ajax测试。
假如让你负责一个产品或项目的安全测试,你该怎么去设计?
一、流程设计
需求阶段(开发开始前进行的测试):
威胁建模:在需求分析阶段,从安全的角度,对威胁建模并加以描述(安全需求用例)。
开发测试阶段(1.设计过程中的测试;2.编码过程中的测试;3.集成过程中的测试):
假如让你负责一个产品或项目的安全测试,你该怎么去设计?
一、流程设计
需求阶段(开发开始前进行的测试):
威胁建模:在需求分析阶段,从安全的角度,对威胁建模并加以描述(安全需求用例)。
开发测试阶段(1.设计过程中的测试;2.编码过程中的测试;3.集成过程中的测试):
安全编码培训==>白盒扫描==>黑盒扫描==>产品发布
开发过程:概设&详设阶段 编码阶段需要按照安全编码规范编写代码
产品运营阶段:
被动:安全事件响应
主动:不影响业务的前提下的渗透测试
二、策略及工具(来自OWASP测试指南)
自动化:
白盒:静态扫描为主;
开发过程:概设&详设阶段 编码阶段需要按照安全编码规范编写代码
产品运营阶段:
被动:安全事件响应
主动:不影响业务的前提下的渗透测试
二、策略及工具(来自OWASP测试指南)
自动化:
白盒:静态扫描为主;
黑盒:url镜像+漏洞扫描 例子:url抓取,比对。配置策略扫描url,分析错误日志;
HTTP会话录制回放(基于业务)
在乌云上可以找到大量的通过业务录制回放方法找到的缺陷
在乌云上可以找到大量的通过业务录制回放方法找到的缺陷
例子:http://www.wooyun.org/bugs/wooyun-2015-0106600
手工:渗透测试
三、思考及扩展---矛与盾
Web安全Checklist(可以参考 WebGoat 的练习项)
参考: OWASP测试指南_2008_v3 、乌云知识库
手工:渗透测试
三、思考及扩展---矛与盾
Web安全Checklist(可以参考 WebGoat 的练习项)
参考: OWASP测试指南_2008_v3 、乌云知识库
注:
0 0
- web安全测试设计----OWASP测试框架
- OWASP 测试指南 4.0-OWASP测试框架
- OWASP 测试框架工作流
- WEB安全测试----2010年OWASP十大WEB应用安全风险
- OWASP出品:Xenotix XSS漏洞测试框架
- OWASP 测试指南 4.0-安全需求测试推导
- OWASP WebGoat---安全测试学习笔记(三)---Ajax安全
- 安全测试,web安全
- OWASP 测试指南 4.0-OWASP 测试项目
- OWASP WebGoat---安全测试学习笔记(一)
- OWASP WebGoat---安全测试学习笔记(四)---认证缺陷
- OWASP WebGoat---安全测试学习笔记(五)---缓冲区溢出
- OWASP WebGoat---安全测试学习笔记(六)---代码质量
- OWASP WebGoat---安全测试学习笔记(七)---并发
- OWASP WebGoat---安全测试学习笔记(十)---注入缺陷
- OWASP WebGoat---安全测试学习笔记(十一)---拒绝服务
- OWASP WebGoat---安全测试学习笔记(十二)---不安全通信
- OWASP WebGoat---安全测试学习笔记(十三)---不安全配置
- javax.servlet.ServletException: java.lang.NoClassDefFoundError:
- cocos2d-x js 显示状态栏 iOS Status Bar
- MongoDB索引的创建与删除
- 多线程编程4 - GCD
- 二维数组简单实现HashMap
- web安全测试设计----OWASP测试框架
- 21个故事
- 图像去雾方法的微小改进
- centos6.2升级到6.5步骤与问题
- git学习笔记3
- 数据库MySQL、Oracle、SQLServer、db2分页查询语句
- centos6.2更新yum源
- laravel5 安装 genarators
- 联想M490预装的win8系统如何降为win7