51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 2345|回复: 1
打印 上一主题 下一主题

工具升级:安全测试流程优化了解一下!

[复制链接]
  • TA的每日心情
    无聊
    4 天前
  • 签到天数: 1050 天

    连续签到: 1 天

    [LV.10]测试总司令

    跳转到指定楼层
    1#
    发表于 2021-9-6 10:27:49 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    近年来,随着国际形势和网络空间环境日趋复杂,各方面对网络安全重视程度日益提升,网络安全也已纳入了国家战略。在此背景下,系统的安全测试与防护就显得越来越重要,项目组在进行基于owasp zap工具进行安全扫描过程中,对工具的使用及扫描流程进行了深入分析,对常规扫描方式进行了优化。
      zap提供了强大的路径爬虫及漏洞扫描功能,常规方式下,可以通过配置代理来录制前台页面,点击系统页面功能后抓取网站路径,再通过“爬行”、“强制浏览目录”等功能进行路径的分析与扩展,最后通过“主动扫描”功能进行漏洞扫描,生成漏扫报告。但这种方式抓取到的网站路径并不能保证是系统的全量路径,也就可能会导致扫描结果不详尽。
      我们的优化思路是利用工具脚本将系统全量路径整理出来,并批量导入到zap工具当中,再进行漏扫分析,这种方式得到的扫描结果就更全面。下面描述常见的.net框架(C#语言)和springboot框架(java)语言解决方案。

      1..net框架
      .net框架下,项目工程的物理路径即可直接转换为网站路径,通过编写python脚本,遍历工程内的目录文件,可直接转换为网站路径,基于该路径,zap可以在扫描过程中遍历系统全量路径及方法。

    图1-1:路径转换python代码


    图1-2:zap批量导入url功能

    2.springboot框架
      Springboot框架安全性更优,只对外提供API服务接口,无法直接访问物理路径,人工整理系统API接口繁琐且容易出纰漏。在此条件下,可以利用swagger插件将工程的全量API接口导出(json格式),再批量导入到zap工具中。

    图2-1 swagger接口脚本下载位置


    图2-2:zap批量导入api接口功能

    导入后的接口并不包含登陆信息,可以在zap设置界面统一添加http头进行token等验证信息的配置,以便工具进行后续的自动扫描。

    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有帐号?(注-册)加入51Testing

    x
    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2024-10-22 14:23
  • 签到天数: 1007 天

    连续签到: 1 天

    [LV.10]测试总司令

    2#
    发表于 2021-9-8 21:46:45 | 只看该作者
    咦,这款工具今年5月份熟悉了下,做了次简单的安全测试,不过使用不复杂,做的比较浅显。
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-25 22:12 , Processed in 0.068722 second(s), 24 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表