1-OWASP测试项目

本篇安全测试知识点是根据《安全测试指南》记录，仅供参考（JSYK）。其主要目的是为了自己所学而记录的笔记。

OWASP测试项目已经开发了很多年了。

1.1 OWASP测试项目概述

我们看一下百度的介绍：

开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。

OWASP

"4W1H"即是：“什么是测试”“为什么要测试”“什么时间测试”“测试哪里”以及“如何测试”。

（1）测量安全：不安全软件的经济学

软件工程的基本原理：不能度量的东西就无法控制它。安全也是如此。然而测试安全是一个非常困难的过程，而我们应该强调的是安全的措施即与具体的技术问题习惯，深入了解漏洞的原理。有一个好的测试框架可以节省活动成本。

（2）测试是什么 ？

    给出检验或证明；

    经历测试过程；

    分配一项基于试验的评估。

测试是按照一组标准比较系统或应用程序的状态的过程。

（3）为什么要测试？

作为一个参考指南，这个框架能给你答案。

（4）什么时间测试？

关于SDLC模型

（5）要测试什么？

必然因素：

人

过程

技术

（6）反馈和评论

1.2 测试原则

（1）没有万能的工具

（2）战略性的思考，而不是战术

（3）SDLC至上

（4）尽早的测试和经常测试

（5）了解安全的范围

（6）培养正确的思维模式

（7）理解主题

（8）使用正确的工具

（9）魔鬼出在细节

（10）可能的情况下使用源代码

（11）指定目标

（12）将测试结果文档化