1-OWASP测试项目

本篇安全测试知识点是根据《安全测试指南》记录,仅供参考(JSYK)。其主要目的是为了自己所学而记录的笔记。

OWASP测试项目已经开发了很多年了。

1.1 OWASP测试项目概述

我们看一下百度的介绍:

开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。


OWASP

"4W1H"即是:“什么是测试”“为什么要测试”“什么时间测试”“测试哪里”以及“如何测试”。

(1)测量安全:不安全软件的经济学

软件工程的基本原理:不能度量的东西就无法控制它。安全也是如此。然而测试安全是一个非常困难的过程,而我们应该强调的是安全的措施即与具体的技术问题习惯,深入了解漏洞的原理。有一个好的测试框架可以节省活动成本。

(2)测试是什么 ?

    给出检验或证明;

    经历测试过程;

    分配一项基于试验的评估。

测试是按照一组标准比较系统或应用程序的状态的过程。

(3)为什么要测试?

作为一个参考指南,这个框架能给你答案。

(4)什么时间测试?

关于SDLC模型

(5)要测试什么?

必然因素:

过程

技术

(6)反馈和评论

1.2 测试原则

(1)没有万能的工具

(2)战略性的思考,而不是战术

(3)SDLC至上

(4)尽早的测试和经常测试

(5)了解安全的范围

(6)培养正确的思维模式

(7)理解主题

(8)使用正确的工具

(9)魔鬼出在细节

(10)可能的情况下使用源代码

(11)指定目标

(12)将测试结果文档化

你可能感兴趣的:(1-OWASP测试项目)