51Testing软件测试论坛

标题: 工具升级：安全测试流程优化了解一下！ [打印本页]

作者: lsekfe 时间: 2021-9-6 10:27
标题: 工具升级：安全测试流程优化了解一下！
近年来，随着国际形势和网络空间环境日趋复杂，各方面对网络安全重视程度日益提升，网络安全也已纳入了国家战略。在此背景下，系统的安全测试与防护就显得越来越重要，项目组在进行基于owasp zap工具进行安全扫描过程中，对工具的使用及扫描流程进行了深入分析，对常规扫描方式进行了优化。
　　zap提供了强大的路径爬虫及漏洞扫描功能，常规方式下，可以通过配置代理来录制前台页面，点击系统页面功能后抓取网站路径，再通过“爬行”、“强制浏览目录”等功能进行路径的分析与扩展，最后通过“主动扫描”功能进行漏洞扫描，生成漏扫报告。但这种方式抓取到的网站路径并不能保证是系统的全量路径，也就可能会导致扫描结果不详尽。
　　我们的优化思路是利用工具脚本将系统全量路径整理出来，并批量导入到zap工具当中，再进行漏扫分析，这种方式得到的扫描结果就更全面。下面描述常见的.net框架（C#语言）和springboot框架（java）语言解决方案。

　　1..net框架
　　.net框架下,项目工程的物理路径即可直接转换为网站路径，通过编写python脚本，遍历工程内的目录文件，可直接转换为网站路径，基于该路径，zap可以在扫描过程中遍历系统全量路径及方法。
[attach]134259[/attach]

图1-1：路径转换python代码

[attach]134260[/attach]

图1-2：zap批量导入url功能

2.springboot框架
　　Springboot框架安全性更优，只对外提供API服务接口，无法直接访问物理路径，人工整理系统API接口繁琐且容易出纰漏。在此条件下，可以利用swagger插件将工程的全量API接口导出(json格式），再批量导入到zap工具中。
[attach]134261[/attach]

图2-1 swagger接口脚本下载位置

[attach]134262[/attach]

图2-2：zap批量导入api接口功能

导入后的接口并不包含登陆信息，可以在zap设置界面统一添加http头进行token等验证信息的配置,以便工具进行后续的自动扫描。

作者: 郭小贱 时间: 2021-9-8 21:46
咦，这款工具今年5月份熟悉了下，做了次简单的安全测试，不过使用不复杂，做的比较浅显。

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)