51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 1647|回复: 0
打印 上一主题 下一主题

web安全测试设计----OWASP测试框架

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2018-3-7 13:30:49 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
OWASP测试框架(来自OWASP测试指南)
        一次偶然的机会,看到了OWASP出的测试指南。联想到2010年做的安全控件项目,真的想说,
如果当时就有学习过《测试指南》,可能测试的效果
会更好,怎么当时就没有看到这本指南呢~。因为它详细描述了安全测试的具体步骤和操作方法,而
当时我们测试的时候都是在前人基础上摸索着测。

OWASP测试框架:
第一阶段:开发开始前进行测试
第二阶段:定义和设计过程中进行测试
第三阶段:开发过程中进行测试
第四阶段:发展过程中进行测试
第五阶段:维护和运行


WEB应用渗透测试:
    被动模式: 信息的收集;
    主动模式(9个子类,66个控制项): 配置管理测试;业务逻辑测试;拒绝服务测试;认证测试;
授权测试;WEB服务测试;会话管理测试;
                                                             数据验证测试;Ajax测试。






假如让你负责一个产品或项目的安全测试,你该怎么去设计?


一、流程设计

需求阶段(开发开始前进行的测试):
        威胁建模:在需求分析阶段,从安全的角度,对威胁建模并加以描述(安全需求用例)。


开发测试阶段(1.设计过程中的测试;2.编码过程中的测试;3.集成过程中的测试):

        安全编码培训==>白盒扫描==>黑盒扫描==>产品发布
        开发过程:概设&详设阶段    编码阶段需要按照安全编码规范编写代码


产品运营阶段:
                被动:安全事件响应
                主动:不影响业务的前提下的渗透测试


二、策略及工具(来自OWASP测试指南)

自动化:
        白盒:静态扫描为主;
        黑盒:url镜像+漏洞扫描        例子:url抓取,比对。配置策略扫描url,分析错误日志;
                   HTTP会话录制回放(基于业务)
                   在乌云上可以找到大量的通过业务录制回放方法找到的缺陷
                   例子:http://www.wooyun.org/bugs/wooyun-2015-0106600

手工:渗透测试


三、思考及扩展---矛与盾

        Web安全Checklist(可以参考 WebGoat 的练习项)

分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

本版积分规则

关闭

站长推荐上一条 /1 下一条

小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

GMT+8, 2024-11-14 11:33 , Processed in 0.060933 second(s), 24 queries .

Powered by Discuz! X3.2

© 2001-2024 Comsenz Inc.

快速回复 返回顶部 返回列表