web安全測試設計----owasp測試框架
owasp測試框架(來自owasp測試指南)
一次偶然的機會,看到了owasp出的測試指南。聯想到2023年做的安全控制項專案,真的想說,如果當時就有學習過《測試指南》,可能測試的效果
會更好,怎麼當時就沒有看到這本指南呢~。
因為它詳細描述了安全測試的具體步驟和操作方法,而當時我們測試的時候都是在前人基礎上摸索著測。
owasp測試框架:
第一階段:開發開始前進行測試
第二階段:定義和設計過程中進行測試
第三階段:開發過程中進行測試
第四階段:發展過程中進行測試
第五階段:維護和執行
web應用滲透測試:
被動模式: 資訊的收集;
主動模式(9個子類,66個控制項): 配置管理測試;業務邏輯測試;拒絕服務測試;認證測試;授權測試;web服務測試;會話管理測試;
資料驗證測試;ajax測試。
假如讓你負責乙個產品或專案的安全測試,你該怎麼去設計?
一、流程設計
需求階段(開發開始前進行的測試):
威脅建模:在需求分析階段,從安全的角度,對威脅建模並加以描述(安全需求用例)。
開發測試階段(1.設計過程中的測試;2.編碼過程中的測試;3.整合過程中的測試):
安全編碼培訓
==>
白盒掃瞄
==>
黑盒掃瞄
==>
產品發布
開發過程:概設&詳設階段
編碼階段需要按照安全編碼規範編寫**
產品運營階段:
被動:安全事件響應
主動:不影響業務的前提下的滲透測試
二、策略及工具(來自owasp測試指南)
自動化:
白盒:靜態掃瞄為主;
黑盒:url映象+漏洞掃瞄
例子:url抓取,比對。配置策略掃瞄url,分析錯誤日誌;
http會話錄製回放(基於業務)
在烏雲上可以找到大量的通過業務錄製回放方法找到的缺陷
例子:手工:滲透測試
三、思考及擴充套件---矛與盾
web安全checklist(可以參考 webgoat 的練習項)
參考: owasp測試指南_2008_v3 、烏雲知識庫
注:
OWASP要素增強Web應用程式安全(2)
owasp一直在更新它的10大脆弱性排名。先前已有發表有關2004年owasp十大排名的文章,這裡筆者想深入 這些owasp相信會給網路應用環境帶來最高風險的10大脆弱性。在該系列的第1部分中,我給出了2004年的owasp 10大脆弱性列表。那篇文章不久,我收到了一封來自andrew van de...
安全測試,web安全
web分為好幾層,一圖勝千言 完全沒有基礎我該從哪下手?完全沒有基礎學習 web 安全是件比較難的事情,所以我給出的最小的方案和最少的建議。工具 先用 awvs 掃幾個測試 大體了解一下 把掃到的漏洞復現,了解怎麼利用,主要了解 xsssql 注入 遠端 執行 開發 書籍 細說 php 實踐 使用 ...
web安全測試
web安全 認證與授權 1.認證2.授權3.避免未經授權的頁面可以直接訪問 session與cookie 1.session,cookie欺騙2.避免儲存敏感資訊到cookie檔案中3.作用域 不同的系統應用不同的作用域 ddos拒絕服務攻擊 1,伺服器傳送請求2.肉雞3.攻擊聯盟4.需要技術的是利...