web安全测试设计----OWASP测试框架

web安全测试设计----OWASP测试框架








OWASP测试框架(来自OWASP测试指南)
        一次偶然的机会,看到了OWASP出的测试指南。联想到2010年做的安全控件项目,真的想说,如果当时就有学习过《测试指南》,可能测试的效果
会更好,怎么当时就没有看到这本指南呢~。 因为它详细描述了安全测试的具体步骤和操作方法,而当时我们测试的时候都是在前人基础上摸索着测。

OWASP测试框架:
第一阶段:开发开始前进行测试
第二阶段:定义和设计过程中进行测试
第三阶段:开发过程中进行测试
第四阶段:发展过程中进行测试
第五阶段:维护和运行


WEB应用渗透测试:
    被动模式: 信息的收集;
    主动模式(9个子类,66个控制项): 配置管理测试;业务逻辑测试;拒绝服务测试;认证测试;授权测试;WEB服务测试;会话管理测试;
                                                             数据验证测试;Ajax测试。






假如让你负责一个产品或项目的安全测试,你该怎么去设计?


一、流程设计

需求阶段(开发开始前进行的测试):
        威胁建模:在需求分析阶段,从安全的角度,对威胁建模并加以描述(安全需求用例)。


开发测试阶段(1.设计过程中的测试;2.编码过程中的测试;3.集成过程中的测试):

        安全编码培训 ==> 白盒扫描 ==> 黑盒扫描 ==> 产品发布
        开发过程:概设&详设阶段    编码阶段需要按照安全编码规范编写代码


产品运营阶段:
                被动:安全事件响应
                主动:不影响业务的前提下的渗透测试



二、策略及工具(来自OWASP测试指南)

自动化:
        白盒: 静态扫描为主;
        黑盒: url镜像+漏洞扫描         例子:url抓取,比对。配置策略扫描url,分析错误日志;
                   HTTP会话录制回放(基于业务)
                   在乌云上可以找到大量的通过业务录制回放方法找到的缺陷
                   例子:http://www.wooyun.org/bugs/wooyun-2015-0106600

手工:渗透测试


三、思考及扩展---矛与盾

        Web安全Checklist(可以参考 WebGoat 的练习项)












参考: OWASP测试指南_2008_v3 、乌云知识库

注:

你可能感兴趣的:(Security)