51Testing软件测试论坛

标题: web安全测试设计----OWASP测试框架 [打印本页]

作者: 感悟时分 时间: 2018-3-7 13:30
标题: web安全测试设计----OWASP测试框架
OWASP测试框架（来自OWASP测试指南）
      一次偶然的机会，看到了OWASP出的测试指南。联想到2010年做的安全控件项目，真的想说，
如果当时就有学习过《测试指南》，可能测试的效果
会更好，怎么当时就没有看到这本指南呢～。因为它详细描述了安全测试的具体步骤和操作方法，而
当时我们测试的时候都是在前人基础上摸索着测。

OWASP测试框架：
第一阶段：开发开始前进行测试
第二阶段：定义和设计过程中进行测试
第三阶段：开发过程中进行测试
第四阶段：发展过程中进行测试
第五阶段：维护和运行

WEB应用渗透测试：
被动模式：信息的收集；
主动模式（9个子类，66个控制项）：配置管理测试；业务逻辑测试；拒绝服务测试；认证测试；
授权测试；WEB服务测试；会话管理测试；
                                                         数据验证测试；Ajax测试。

假如让你负责一个产品或项目的安全测试，你该怎么去设计？

一、流程设计

需求阶段（开发开始前进行的测试）：
      威胁建模：在需求分析阶段，从安全的角度，对威胁建模并加以描述（安全需求用例）。

开发测试阶段（1.设计过程中的测试；2.编码过程中的测试；3.集成过程中的测试）：

      安全编码培训==>白盒扫描==>黑盒扫描==>产品发布
      开发过程：概设＆详设阶段编码阶段需要按照安全编码规范编写代码

产品运营阶段：
            被动：安全事件响应
            主动：不影响业务的前提下的渗透测试

二、策略及工具（来自OWASP测试指南）

自动化：
      白盒：静态扫描为主；
      黑盒：url镜像+漏洞扫描       例子：url抓取，比对。配置策略扫描url，分析错误日志；
               HTTP会话录制回放（基于业务）
               在乌云上可以找到大量的通过业务录制回放方法找到的缺陷
               例子：http://www.wooyun.org/bugs/wooyun-2015-0106600

手工：渗透测试

三、思考及扩展---矛与盾

      Web安全Checklist（可以参考 WebGoat 的练习项）

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)