web安全测试设计----OWASP测试框架

感悟时分

OWASP测试框架（来自OWASP测试指南）
        一次偶然的机会，看到了OWASP出的测试指南。联想到2010年做的安全控件项目，真的想说，
如果当时就有学习过《测试指南》，可能测试的效果
会更好，怎么当时就没有看到这本指南呢～。因为它详细描述了安全测试的具体步骤和操作方法，而
当时我们测试的时候都是在前人基础上摸索着测。

OWASP测试框架：
第一阶段：开发开始前进行测试
第二阶段：定义和设计过程中进行测试
第三阶段：开发过程中进行测试
第四阶段：发展过程中进行测试
第五阶段：维护和运行


WEB应用渗透测试：
    被动模式： 信息的收集；
    主动模式（9个子类，66个控制项）： 配置管理测试；业务逻辑测试；拒绝服务测试；认证测试；
授权测试；WEB服务测试；会话管理测试；
                                                             数据验证测试；Ajax测试。






假如让你负责一个产品或项目的安全测试，你该怎么去设计？


一、流程设计

需求阶段（开发开始前进行的测试）：
        威胁建模：在需求分析阶段，从安全的角度，对威胁建模并加以描述（安全需求用例）。


开发测试阶段（1.设计过程中的测试；2.编码过程中的测试；3.集成过程中的测试）：

        安全编码培训==>白盒扫描==>黑盒扫描==>产品发布
        开发过程：概设＆详设阶段    编码阶段需要按照安全编码规范编写代码


产品运营阶段：
                被动：安全事件响应
                主动：不影响业务的前提下的渗透测试


二、策略及工具（来自OWASP测试指南）

自动化：
        白盒：静态扫描为主；
        黑盒：url镜像+漏洞扫描        例子：url抓取，比对。配置策略扫描url，分析错误日志；
                   HTTP会话录制回放（基于业务）
                   在乌云上可以找到大量的通过业务录制回放方法找到的缺陷
                   例子：http://www.wooyun.org/bugs/wooyun-2015-0106600

手工：渗透测试


三、思考及扩展---矛与盾

        Web安全Checklist（可以参考 WebGoat 的练习项）