web安全测试设计----OWASP测试框架
OWASP测试框架(来自OWASP测试指南)一次偶然的机会,看到了OWASP出的测试指南。联想到2010年做的安全控件项目,真的想说,
如果当时就有学习过《测试指南》,可能测试的效果
会更好,怎么当时就没有看到这本指南呢~。因为它详细描述了安全测试的具体步骤和操作方法,而
当时我们测试的时候都是在前人基础上摸索着测。
OWASP测试框架:
第一阶段:开发开始前进行测试
第二阶段:定义和设计过程中进行测试
第三阶段:开发过程中进行测试
第四阶段:发展过程中进行测试
第五阶段:维护和运行
WEB应用渗透测试:
被动模式: 信息的收集;
主动模式(9个子类,66个控制项): 配置管理测试;业务逻辑测试;拒绝服务测试;认证测试;
授权测试;WEB服务测试;会话管理测试;
数据验证测试;Ajax测试。
假如让你负责一个产品或项目的安全测试,你该怎么去设计?
一、流程设计
需求阶段(开发开始前进行的测试):
威胁建模:在需求分析阶段,从安全的角度,对威胁建模并加以描述(安全需求用例)。
开发测试阶段(1.设计过程中的测试;2.编码过程中的测试;3.集成过程中的测试):
安全编码培训==>白盒扫描==>黑盒扫描==>产品发布
开发过程:概设&详设阶段 编码阶段需要按照安全编码规范编写代码
产品运营阶段:
被动:安全事件响应
主动:不影响业务的前提下的渗透测试
二、策略及工具(来自OWASP测试指南)
自动化:
白盒:静态扫描为主;
黑盒:url镜像+漏洞扫描 例子:url抓取,比对。配置策略扫描url,分析错误日志;
HTTP会话录制回放(基于业务)
在乌云上可以找到大量的通过业务录制回放方法找到的缺陷
例子:http://www.wooyun.org/bugs/wooyun-2015-0106600
手工:渗透测试
三、思考及扩展---矛与盾
Web安全Checklist(可以参考 WebGoat 的练习项)
页:
[1]
