logo资料库

OWASP测试指南(中文).pdf

发布时间:2022-06-26 发布人:admin 分类:说明书 资料大小:8.74M 资料格式:pdf 举报 版权申诉
第1页 / 共371页
第2页 / 共371页
第3页 / 共371页
第4页 / 共371页
第5页 / 共371页
第6页 / 共371页
第7页 / 共371页
第8页 / 共371页
资料共371页,剩余部分请下载后查看
    前言
    谁有需要
    OWASP指南
    为什幺选择OWASP
    优先级
    自动化工具的作用
    行动呼吁
    致谢与译者声明
    OWASP测试指南中文版修订
    翻译及校对人员(姓氏排名)
    声明
    1.首页
    欢迎使用OWASP测试指南3.0
    第3版
    版权和许可
    历史修订
    编辑
    测试指南第3版作者
    测试指南第3版修订人员
    测试指南第2版作者
    测试指南第2版修订人员
    商标
    关于OWASP
    摘要
    结构
    许可申请
    会员参与
    项目
    OWASP隐私策略
    2.导言
    测试原理
    测试技术解释
    人工检查及复查
    软件威胁建模
    代码复查
    渗透测试
    方法平衡的需求
    安全需求测试推导
    功能和非功能测试需求
    安全需求在使用和误用中的衍生
    安全测试集成于开发者与测试者工作流
    开发者的安全测试
    功能测试者的安全测试
    安全测试数据分析和报告
    参考资料
    3.OWASP测试框架
    概述
    第1阶段:开发开始前进行测试
    阶段1A:审查策略和标准
    阶段1B:开发衡量标准及指标(保证可追溯)
    第2阶段:定义和设计过程中进行测试
    阶段2A:安全需求审查
    阶段2B:设计和架构审查
    阶段2C:创建并审查UML模型
    阶段2D:创建并审查威胁模型
    第3阶段:开发过程中进行测试
    阶段3A:代码浏览
    阶段3B:代码审查
    第4阶段:发展过程中进行测试
    阶段4A:应用程序渗透测试
    阶段4B:配置管理测试
    第5阶段:维护和运行
    阶段5A:进行操作管理审查
    阶段5B:进行定期的健康状态检查
    阶段5C:确保变更验证
    4WEB应用渗透测试
    4.1说明简介
    4.2信息收集
    4.2.1测试:蜘蛛,机器人和爬虫(OWASP-IG-001)
    概要
    问题描述
    黑盒测试实例
    灰盒测试及实例
    参考
    4.2.2搜索引擎发现/侦查(OWASP-IG-002)
    摘要
    问题描述
    黑盒测试
    实例
    灰盒测试
    参考
    4.2.3应用入口识别(OWASP-IG-003)
    概要
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.2.4WEB应用指纹测试(OWASP-IG-004)
    摘要
    参考
    4.2.5应用发现(OWASP-IG-005)
    摘要
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.2.6错误代码分析(OWASP-IG-006)
    摘要
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.3配置管理测试
    4.3.1SSL/TLS测试(OWASP-CM-001)
    概述
    测试网站SSL/TLS的加密规范和需求
    黑箱测试及实例
    白盒测试和实例
    测试SSL证书的有效性-客户端和服务器
    黑盒测试和实例
    白盒测试和实例
    参考目录
    4.3.2数据库监听测试(OWASP-CM-002)
    概述
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.3.3基础结构配置管理测试(OWASP-CM-003)
    摘要
    问题描述
    黑盒测试实例
    参考
    4.3.4应用配置管理测试(OWASP-CM-004)
    概述
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.3.5文件扩展名处理测试(OWASP-CM-005)
    概述
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.3.6过时的、用于备份的以及未被引用的文件(OWASP-CM-006)
    概述
    问题描述
    黑盒测试
    灰盒测试
    参考
    4.3.7基础结构和应用管理界面(OWASP-CM-007)
    概述
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.3.8HTTP方法和XST测试(OWASP-CM-008)
    概述
    问题的简单描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.4认证测试
    概述
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.4.2用户枚举测试(OWASP-AT-002)
    概述
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.4.3默认或可猜解(遍历)用户帐户(OWASP-AT-003)
    概述
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.4.4暴力破解测试(OWASP-AT-004)
    概述
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.4.5认证模式绕过测试(OWASP-AT-005)
    概要
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.4.6记住密码和密码重置弱点测试(OWASP-AT-006)
    摘要
    问题描述
    黑盒测试和密码重置实例
    灰盒测试实例
    4.4.7注销和浏览器缓存管理测试(OWASP-AT-007)
    摘要
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.4.8CAPTCHA测试(OWASP-AT-008)
    概述
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.4.9多因素认证测试(OWASP-AT-009)
    摘要
    问题描述
    灰盒测试
    参考
    4.4.10竞争条件测试(OWASP-AT-010)
    摘要
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.5会话管理测试
    4.5.1会话管理模式测试(OWASP-SM-001)
    摘要
    相关安全活动
    问题描述
    黑盒测试实例
    灰盒测试
    参考
    4.5.2COOKIES属性测试(OWASP-SM-002)
    概要
    问题描述
    黑盒测试实例
    参考
    4.5.3会话固定测试(OWASP-SM_003)
    摘要
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.5.4会话变量泄漏测试(OWASP-SM-004)
    摘要
    问题简要说明
    黑盒测试实例
    参考
    4.5.5CSRF测试(OWASP-SM-005)
    摘要
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.6授权测试
    4.6.1路径遍历测试(OWASP-AZ-001)
    概述
    相关安全活动
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.6.2绕过授权模式测试(OWASP-AZ-002)
    摘要
    问题描述
    黑盒测试
    参考
    4.6.3提权测试(OWASP-AZ-003)
    摘要
    问题描述
    黑盒测试实例
    参考
    4.7业务逻辑测试(OWASP-BL-001)
    摘要
    问题描述
    黑盒测试实例
    参考
    4.8数据验证测试
    4.8.1反射式跨站脚本测试(OWASP-DV-001)
    概述
    问题描述
    黑盒测试
    参考
    4.8.2存储式跨站脚本测试(OWASP-DV-002)
    摘要
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.8.3基于DOM的跨站脚本检测(OWASP-DV-003)
    概述
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    4.8.4FLASH跨站脚本测试(OWASP-DV-004)
    概述
    问题描述
    灰盒测试实例
    参考
    4.8.5SQL注入(OWASP-DV-005)
    概述
    相关安全活动
    问题描述
    黑盒测试实例
    参考
    4.8.5.1ORACLE测试
    摘要
    问题描述
    黑盒测试实例
    参考
    4.8.5.2MYSQL测试
    问题简单描述
    黑盒测试实例
    参考
    4.8.5.3SQLSERVER测试
    摘要
    问题简单描述
    黑盒测试实例
    参考
    4.8.5.4MSACCESS检测
    问题简短描述
    概述
    黑盒检测实例
    参考
    4.8.5.5检测POSTGRESQL
    要点
    概述
    参考
    4.8.6LDAP注入(OWASP-DV-006)
    摘要
    问题描述
    黑盒检测实例
    参考
    4.8.7ORM注入(OWASP-DV-007)
    概述
    问题描述
    黑盒检测实例
    灰盒检测实例
    参考
    4.8.8XML注入(OWASP-DV-008)
    概述
    问题的简单描述
    黑盒检测实例
    参考
    4.8.9SSI注入(OWASP-DV-009)
    概述
    问题描述
    黑盒检测
    灰盒检测实例
    参考
    4.8.10XPATH注入(OWASP-DV-010)
    概述
    问题简短说明
    黑盒检测实例
    参考
    4.8.11IMAP/SMTP注入(OWASP-DV-011)
    概述
    问题描述
    黑盒检测实例
    参考
    4.8.12代码注入(OWASP-DV-012)
    摘要
    问题描述
    黑盒检测实例
    灰盒检测实例
    参考
    4.8.13OS指令执行(OWASP-DV-013)
    摘要
    问题简短描述
    黑盒检测实例
    灰盒检测
    参考
    4.8.14缓冲区溢出检测(OWASP-DV-014)
    相关安全活动
    4.8.14.1堆溢出
    摘要
    问题描述
    黑盒检测实例
    灰盒检测
    参考
    4.8.14.2栈溢出
    概述
    问题描述
    黑盒检测实例
    灰盒检测实例
    参考
    4.8.14.3格式化字符串
    概述
    问题描述
    黑盒检测实例
    灰盒检测实例
    参考
    4.8.15潜伏式漏洞检测(OWASP-DV-015)
    概述
    黑盒检测实例
    灰盒检测实例
    参考
    4.8.16HTTPSPLITTING/SMUGGLING测试(OWASP-DV-016)
    概述
    问题描述
    黑盒检测实例
    灰盒检测实例
    参考
    4.9阻断服务测试
    4.9.1SQL通配符攻击测试(OWASP-DS-001)
    简介
    概述
    黑盒测试及举例
    灰盒测试及举例
    参考文献
    4.9.2锁定用户账户(OWASP-DS-002)
    简介
    概述
    黑盒测试及举例
    灰盒测试及举例
    4.9.3缓冲溢出(OWASP-DS-003)
    简介
    概述
    黑盒测试
    灰盒测试
    4.9.4用户指定型对象分配(OWASP-DS-004)
    简介
    概要
    黑盒测试及举例
    灰盒测试及举例
    4.9.5将用户输入作为循环计数器(OWASP-DS-005)
    简介
    概括
    黑盒测试及举例
    灰盒测试及举例
    4.9.6将用户写入的数据写到磁盘(OWASP-DS-006)
    简介
    概述
    黑盒测试及举例
    灰盒测试及举例
    4.9.7释放资源失败(OWASP-DS-007)
    简介
    概要
    黑盒测试及举例
    灰盒测试及举例
    4.9.8存储过多会话数据(OWASP-DS-008)
    简介
    概述
    黑盒测试及举例
    灰盒测试及举例
    4.10WEB服务测试
    4.10.1WS信息收集(OWASP-WS-001)
    简介
    黑盒测试及举例
    参考文献
    4.10.2WSDL测试(OWASP-WS-002)
    简介
    概括
    黑盒测试及举例
    参考文献
    4.10.3XML结构测试(OWASP-WS-003)
    简介
    概括
    黑盒测试及举例
    灰盒测试及举例
    参考文献
    4.10.4XML内容级别测试(OWASP-WS-004)
    简介
    概括
    黑盒测试及举例
    灰盒测试及举例
    参考文献
    4.10.5HTTPGET参数/REST测试(OWASP-WS-005)
    简介
    概述
    黑盒测试及举例
    灰盒测试及举例
    参考文献
    4.10.6调皮的SOAP附件(OWASP-WS-006)
    简介
    概述
    黑盒测试及举例
    参考文献
    4.10.7重现测试(OWASP-WS-007)
    简介
    概括
    黑盒测试及举例
    灰盒测试及举例
    参考文献
    4.11AJAX测试
    4.11.1AJAX漏洞(OWASP-AJ-001)
    概述
    漏洞攻击
    参考
    4.11.2检测AJAX(OWASP-AJ-002)
    摘要
    问题描述
    黑盒测试实例
    灰盒测试实例
    参考
    5.撰写报告:评估实际风险
    5.1如何评估实际风险
    OWASP风险分级方法
    方法
    步骤1:识别风险
    步骤2:估计可能性的因素
    步骤3:估计影响的因素
    步骤4:确定风险的严重程度
    步骤5:决定需要修复的内容
    步骤6:定制你的风险分级模型
    5.2如何书写这个测试报告
    附录A:测试工具
    开源黑盒测试工具
    特定漏洞测试
    商业黑盒测试工具
    源代码分析工具—开源/免费软件
    源代码分析工具—商业软件
    验收测试工具—开源
    其它工具
    附录B:推荐读物
    白皮书
    书籍
    有用的站点
    附录C:漏洞检测向量
    漏洞检测分类
    递归漏洞检测
    可替换漏洞检测
    跨站脚本攻击(XSS)
    缓冲区溢出和格式化字符串错误
    缓冲区溢出(BFO)
    格式化字符串错误(FSE)
    整数溢出(INT)
    SQL注入
    被动SQL注入(SQP)
    主动SQL注入(SQI)
    LDAP注入
    XPATH注入
    XML注入
    附录D:编码注入
    背景
    输入编码—逃避过滤
    输出编码—服务器与浏览器一致
    参考
    OWASP 测试指南 2008 V3.0 致谢 杭州安恒信息技术有限公司和微软中国有限公司的大力支持! 2002-2008OWASP基金会 这份文档由creativecommons Attribution-ShareAlike3.0 许可授权。请确认你的版本出自OWASPTesting或OWASP Foundation。
    目录 前言...............................................................................................................................................................................................7 谁有需要.................................................................................................................................................................................. 7 OWASP 指南.............................................................................................................................................................................7 为什幺选择 OWASP.................................................................................................................................................................8 优先级...................................................................................................................................................................................... 8 自动化工具的作用.................................................................................................................................................................. 8 行动呼吁.................................................................................................................................................................................. 9 致谢与译者声明.........................................................................................................................................................................10 1. 首页.........................................................................................................................................................................................11 欢迎使用 OWASP 测试指南 3.0............................................................................................................................................11 关于 OWASP...........................................................................................................................................................................14 2.导言..........................................................................................................................................................................................17 测试原理................................................................................................................................................................................ 19 测试技术解释........................................................................................................................................................................ 22 安全需求测试推导................................................................................................................................................................ 28 3. OWASP 测试框架....................................................................................................................................................................41 概述........................................................................................................................................................................................ 41 第 1 阶段:开发开始前进行测试........................................................................................................................................ 41 第 2 阶段:定义和设计过程中进行测试............................................................................................................................... 42 第 3 阶段: 开发过程中进行测试.......................................................................................................................................... 43 第 4 阶段: 发展过程中进行测试.......................................................................................................................................... 44 第 5 阶段: 维护和运行.......................................................................................................................................................... 45 2
    OWASP 测试指南 v3.0 4 WEB 应用渗透测试................................................................................................................................................................. 47 4.1 说明简介.......................................................................................................................................................................... 47 4.2 信息收集.......................................................................................................................................................................... 53 4.2.1 测试:蜘蛛,机器人和爬虫(OWASP-IG-001)............................................................................................................... 54 4.2.2 搜索引擎发现/侦查(OWASP-IG-002)...........................................................................................................................56 4.2.3 应用入口识别(OWASP-IG-003).................................................................................................................................... 58 4.2.4 WEB 应用指纹测试 (OWASP-IG-004)...........................................................................................................................61 4.2.5 应用发现 (OWASP-IG-005)........................................................................................................................................... 69 4.2.6 错误代码分析 (OWASP-IG-006)................................................................................................................................... 75 4.3 配置管理测试.................................................................................................................................................................. 79 4.3.1 SSL/TLS 测试 (OWASP-CM-001)....................................................................................................................................80 4.3.2 数据库监听测试 (OWASP-CM-002)............................................................................................................................. 88 4.3.3 基础结构配置管理测试 (OWASP-CM-003)................................................................................................................. 92 4.3.4 应用配置管理测试 (OWASP-CM-004)......................................................................................................................... 96 4.3.5 文件扩展名处理测试 (OWASP-CM-005)................................................................................................................... 100 4.3.6 过时的、用于备份的以及未被引用的文件 (OWASP-CM-006)............................................................................... 102 4.3.7 基础结构和应用管理界面(OWASP-CM-007)..........................................................................................................107 4.3.8 HTTP 方法和 XST 测试(OWASP-CM-008)...................................................................................................................109 4.4 认证测试........................................................................................................................................................................ 114 4.4.1 加密信道证书传输 (OWASP-AT-001)....................................................................................................................... 115 4.4.2 用户枚举测试 (OWASP-AT-002)................................................................................................................................ 119 4.4.3 默认或可猜解 (遍历)用户帐户 (OWASP-AT-003)..................................................................................................... 124 4.4.4 暴力破解测试(OWASP-AT-004)................................................................................................................................. 127 3
    4.4.5 认证模式绕过测试 (OWASP-AT-005)........................................................................................................................ 133 4.4.6 记住密码和密码重置弱点测试(OWASP-AT-006)..................................................................................................... 137 4.4.7 注销和浏览器缓存管理测试 (OWASP-AT-007)........................................................................................................ 140 4.4.8 CAPTCHA 测试 (OWASP-AT-008)................................................................................................................................ 144 4.4.9 多因素认证测试 (OWASP-AT-009)............................................................................................................................ 146 4.4.10 竞争条件测试 (OWASP-AT-010).............................................................................................................................. 151 4.5 会话管理测试................................................................................................................................................................ 153 4.5.1 会话管理模式测试 (OWASP-SM-001)....................................................................................................................... 154 4.5.2 COOKIES 属性测试(OWASP-SM-002)......................................................................................................................... 163 4.5.3 会话固定测试 (OWASP-SM_003)...............................................................................................................................166 4.5.4 会话变量泄漏测试 (OWASP-SM-004)....................................................................................................................... 169 4.5.5 CSRF 测试 (OWASP-SM-005).......................................................................................................................................172 4.6 授权测试........................................................................................................................................................................ 178 4.6.1 路径遍历测试 (OWASP-AZ-001).................................................................................................................................178 4.6.2 绕过授权模式测试 (OWASP-AZ-002)........................................................................................................................ 183 4.6.3 提权测试 (OWASP-AZ-003).........................................................................................................................................184 4.7 业务逻辑测试 (OWASP-BL-001)....................................................................................................................................186 4.8 数据验证测试................................................................................................................................................................192 4.8.1 反射式跨站脚本测试 (OWASP-DV-001).................................................................................................................... 195 4.8.2 存储式跨站脚本测试 (OWASP-DV-002).................................................................................................................... 200 4.8.3 基于 DOM 的跨站脚本检测 (OWASP-DV-003)......................................................................................................... 206 4.8.4FLASH 跨站脚本测试 (OWASP-DV-004)......................................................................................................................209 4.8.5 SQL 注入(OWASP-DV-005)..........................................................................................................................................214 4
    OWASP 测试指南 v3.0 4.8.5.1 ORACLE 测试............................................................................................................................................................ 222 4.8.5.2 MYSQL 测试............................................................................................................................................................. 230 4.8.5.3 SQL SERVER 测试......................................................................................................................................................236 4.8.5.4 MS ACCESS 检测.......................................................................................................................................................245 4.8.5.5 检测 PostgreSQL...................................................................................................................................................... 248 4.8.6 LDAP 注入 (OWASP-DV-006).......................................................................................................................................254 4.8.7 ORM 注入 (OWASP-DV-007).......................................................................................................................................257 4.8.8 XML 注入(OWASP-DV-008).........................................................................................................................................258 4.8.9 SSI 注入 (OWASP-DV-009).......................................................................................................................................... 266 4.8.10 XPATH 注入(OWASP-DV-010)................................................................................................................................... 269 4.8.11 IMAP/SMTP 注入 (OWASP-DV-011)......................................................................................................................... 270 4.8.12 代码注入 (OWASP-DV-012)...................................................................................................................................... 276 4.8.13 OS 指令执行(OWASP-DV-013)................................................................................................................................. 277 4.8.14 缓冲区溢出检测 (OWASP-DV-014).......................................................................................................................... 280 4.8.14.1 堆溢出....................................................................................................................................................................281 4.8.14.2 栈溢出....................................................................................................................................................................284 4.8.14.3 格式化字符串........................................................................................................................................................288 4.8.15 潜伏式漏洞检测 (OWASP-DV-015)..........................................................................................................................291 4.8.16 HTTP Splitting/Smuggling 测试 (OWASP-DV-016).................................................................................................... 295 4.9 阻断服务测试................................................................................................................................................................ 298 4.9.1 SQL 通配符攻击测试(OWASP-DS-001)...................................................................................................................... 299 4.9.2 锁定用户账户(OWASP-DS-002)................................................................................................................................. 301 4.9.3 缓冲溢出(OWASP-DS-003)......................................................................................................................................... 303 5
    4.9.4 用户指定型对象分配(OWASP-DS-004)..................................................................................................................... 304 4.9.5 将用户输入作为循环计数器(OWASP-DS-005)......................................................................................................... 305 4.9.6 将用户写入的数据写到磁盘(OWASP-DS-006)......................................................................................................... 306 4.9.7 释放资源失败(OWASP-DS-007)................................................................................................................................. 307 4.9.8 存储过多会话数据(OWASP-DS-008)......................................................................................................................... 308 4.10 WEB 服务测试............................................................................................................................................................. 309 4.10.1 WS 信息收集(OWASP-WS-001)................................................................................................................................310 4.10.2 WSDL 测试 (OWASP-WS-002)...................................................................................................................................317 4.10.3 XML 结构测试(OWASP-WS-003).............................................................................................................................. 321 4.10.4 XML 内容级别测试(OWASP-WS-004)...................................................................................................................... 326 4.10.5 HTTPGET 参数/REST 测试(OWASP-WS-005)............................................................................................................328 4.10.6 调皮的 SOAP 附件(OWASP-WS-006)....................................................................................................................... 329 4.10.7 重现测试(OWASP-WS-007)...................................................................................................................................... 332 4.11 AJAX 测试..................................................................................................................................................................... 334 4.11.1 AJAX 漏洞 (OWASP-AJ-001)...................................................................................................................................... 335 4.11.2 检测 AJAX (OWASP-AJ-002)...................................................................................................................................... 339 5. 撰写报告:评估实际风险.............................................................................................................................................. 345 5.1 如何评估实际风险........................................................................................................................................................ 345 5.2 如何书写这个测试报告................................................................................................................................................352 附录 A: 测试工具.................................................................................................................................................................357 附录 B: 推荐读物................................................................................................................................................................. 360 附录 C: 漏洞检测向量......................................................................................................................................................... 362 附录 D: 编码注入.................................................................................................................................................................368 6
    OWASP 测试指南 v3.0 前言 软件的不安全问题也许是我们这个时代最为重要的技术挑战。安全问题是目前制约信息技术发展的关键。在 OWASP 团队,我们努力使不安全软件成为这个世界上不正常、不规范的产品,而这份 OWASP 测试指南正是实现这个目标 的重要一步。 毫无疑问的是没有进行安全测试就无法建立一个安全的应用环境。然而,许多的软件开发组织的标准软件开发流程 中却并不包含安全测试这一步骤。由于攻击者能够利用无数的方法来攻破应用程序,而安全测试不可能测试全部的 攻击方法,所以安全测试其自身并非是衡量应用安全最为有效的方法。但是,安全测试具有独特的能力绝对说服反 对者确实存在安全问题。因此,在任何相信自己所生产和使用的软件的公司,安全测试在这些公司中起着核心作 用。 总体而言,OWASP 的各个指南是对开发及维系安全的应用程序很好的出发点。开发者指南 能指导你如何设计和开 发安全的应用程序,而 代码检测指南 则会告诉你如何为代码作安全检测,而 测试指南 会指导你如何验证你的应用 程序的安全性。我极力推荐你使用这些指南在你的应用程序开发。 谁有需要 软件开发者 –软件开发者需要使用这份指南来确保你所递交的代码没有可攻击的弱点。因为底层的测试者或者安全 小组不可能比你自己更了解你所开发的软件,因此你不能依靠他们来帮你测试。没有人能够比你自己更加有效地测 试你所开发的应用程序。代码安全绝对是你自己的责任。 软件测试者 – 软件测试者应该使用这份指南来增强你的测试能力。长期以来,安全测试作为一项黑色艺术并未得到 公开,所以 OWASP 一直致力于将这部分知识免费对每个人开放。这本指南中描述的很多案例并不复杂,也没有用 到特殊的技能或者工具。你可以通过学习这些安全知识来帮助你们公司并增强你的职业技能。 安全专家 –安全专家的主要职责是确保应用程序中没有安全弱点的存在。你可以通过这份指南来确保安全测试的全 面性和严密性。永远不要满足于只找到几个漏洞,你的工作是保证这个应用程序的整体安全。同时,我们也强烈建 议你们使用 OWASP 应用安全验证标准(ASVS)。 OWASP 指南 OWASP 已经完成好几本普及应用安全基础知识的指南: OWASP 应用安全基础参考(ASDRASDRASDRASDR)-- ASDR 涵盖了所有应用安全中重要准则、威胁代理、攻击手段、应用弱点、安 OWASP OWASP OWASP 全对策、技术冲击和商业冲击的基本定义和描述。这是所以指南的基础参考,在其它篇章中也经常被提及。 OWASP OWASP OWASP OWASP 开发者指南—开发者指南包含了软件开发者看重的所有安全控制。这些安全控制是软件开发者必须在应用程 序中创建的“主动”保护。在面对数以百计的软件弱点时,一系列有力的安全控制措施可以有效的阻止它们。 OWASP OWASP OWASP OWASP 测试指南—你正在阅读的这本测试指南囊括了应用安全测试的所有程序和工具。这本指南最好的用处是可以 作为综合应用安全验证的一部分。 7
    OWASP OWASP OWASP OWASP 代码检测指南—代码检测指南与测试指南配合使用时效果最佳。用代码检测验证应用程序通常比测试要更节 约成本。你需要为你正在工作的应用安全选择一个最有效率的信道。 总的来讲,OWASP 指南是创建和维持安全应用中一个伟大的起步。OWASP 强烈建议你能将这些手册作为应用安全 测试的一部分。 为什幺选择 OWASP 写成一本这样的指南是艰巨的工作,因为它汇集了数百位世界各地的专家的专业技能。测试安全漏洞有许多不同的 方式,但是这本指南却在怎样快捷、准确、有效地测试方面获得了权威人士的一致同意。 这本指南完全免费地向公众开放十分重要。安全问题不应该是躲在暗处,以至于只有少数人能操作。许多现有的安 全指南只是详细地阐述了问题的严重性,但并没有提供足够的信息来让人们找到、诊断或者解决安全问题。创建这 本指南的目的是使需要它的人能掌握这些专业知识。 这本指南必须能在开发者和软件测试者中推广起来。全世界似乎没有足够的应用安全专家来对所有问题做重要批 示。应用安全最开始的责任肯定是落在软件开发者的肩上。如果开发者没有测试他的软件的话,软件中没有安全代 码也并不奇怪。 保证信息及时更新是这本指南至关重要的方面。通过采用 Wiki 方式,OWASP 团队能逐渐发展和扩大这本指南中的 信息,这样才能跟上应用安全威胁快速发展的步伐。 注:Wiki 是一种在网络上开放、可供多人协同创作的超文本系统,由「Wiki 之父」沃德·坎宁安(Ward Cunningham)于 1995 年所创。 优先级 你最好将这份指南看作是一系列寻找不同类型安全漏洞的技术指引。但并不是所有的技术都是同等重要的,请不要 将这本指南当成一本核对清单来使用。 应用安全测试最重要的方面可能就是让你时刻牢记你必须在有限的时间内尽可能多地覆盖应用程序的各个方面。郑 重提醒:请不要简单的看几眼这本书就开始测试,理想的做法是:通过建立一些安全威胁模型来决定你的公司最关 心的安全问题是什幺。你最终应该拥有一张包含优先次序的待测试的安全清单。 下一个步骤你应该决定如何验证这些要求。有很多不同的选择:你可以使用手动测试或者手动代码检测;你也可以 使用自动化的漏洞扫描或自动化的代码扫描(静态分析);你甚至可以使用与开发者和架构师共同检测或讨论安全 架构的方法。最重要的是判断并选择一种能够最准确、最高效地对特定应用程序进行检测的技术。 自动化工具的作用 自动化检测方法是吸引人的。因为他们似乎提供了一种短时间进行合理覆盖的检测手段。但是在应用安全中这些假 设远远没有在网络安全中真实。 8
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料