2019測試指南-web應用程序安全測試（一）

什麼是Web應用程序安全測試？
安全測試是經過有條不紊地驗證和驗證應用程序安全控制的有效性來評估計算機系統或網絡的安全性的方法。Web應用程序安全性測試僅側重於評估Web應用程序的安全性。該過程涉及對應用程序的任何弱點，技術缺陷或漏洞進行主動分析。發現的任何安全問題都將提交給系統全部者，同時評估影響，緩解建議或技術解決方案。

什麼是漏洞？
漏洞是系統設計，實施，運營或管理中的缺陷或弱點，可被利用來破壞系統的安全目標。

什麼是威脅？
威脅是指任何東西（惡意外部攻擊者，內部用戶，系統不穩定等），它可能經過利用一個應用程序擁有的資產（有價值的資源，如數據庫或文件系統中的數據）來損害漏洞。

什麼是測試？
測試是一種行爲，用於證實應用程序知足其利益相關者的安全要求。

編寫本指南的方法

OWASP方法是開放和協做的：

• 開放：每一個安全專家均可以參與項目中的經驗。一切都是免費的。
• 協做：在撰寫文章以前進行頭腦風暴，以便團隊能夠分享想法並造成項目的集體願景。這意味着粗略的共識，更普遍的受衆和更多的參與。

這種方法傾向於建立一個定義的測試方法，它將是：

• 一向
• 可重複
• 嚴格
• 在質量控制下

要解決的問題已經完整記錄和測試。使用方法測試全部已知漏洞並記錄全部安全測試活動很是重要。

什麼是OWASP測試方法？

安全測試永遠不會是一個精確的科學，能夠定義應測試的全部可能問題的完整列表。實際上，安全測試只是在某些狀況下測試Web應用程序安全性的適當技術。該項目的目標是收集全部可能的測試技術，解釋這些技術，並保持指南更新。OWASP Web應用程序安全測試方法基於黑盒方法。測試人員一無所知，或者關於要測試的應用程序的信息不多。

測試模型包括：

• 測試人員：誰執行測試活動
• 工具和方法：本測試指南項目的核心
• 應用：要測試的黑匣子

測試分爲兩個階段：

• 第1階段被動模式：

在被動模式下，測試人員嘗試瞭解應用程序的邏輯並使用應用程序。工具可用於收集信息。例如，HTTP代理可用於觀察全部HTTP請求和響應。在此階段結束時，測試人員應該瞭解應用程序的全部訪問點（門）（例如，HTTP標頭，參數和cookie）。信息收集部分介紹瞭如何執行被動模式測試。

例如，測試人員能夠找到如下內容：

https://www.example.com/login/Authentic_Form.html 

這能夠指示應用程序請求用戶名和密碼的認證表單。 

如下參數表示應用程序的兩個訪問點（門）：

http://www.example.com/Appx.jsp?a=1&b=1 

在這種狀況下，應用程序顯示兩個門（參數a和b）。在這個階段發現的全部門表明了一個測試點。帶有應用程序目錄樹和全部訪問點的電子表格對第二階段很是有用。

 

• 階段2活動模式：

在此階段，測試儀開始使用如下部分中描述的方法進行測試。

這組活動測試分爲11個子類別，總共91個控件：

• 信息收集
• 配置和部署管理測試
• 身份管理測試
• 認證測試
• 受權測試
• 會話管理測試
• 輸入驗證測試
• 錯誤處理
• 加密
• 業務邏輯測試
• 客戶端測試