2019測試指南-web應用程序安全測試（二）經過應用程序映射執行路徑

在開始安全測試以前，瞭解應用程序的結構相當重要。若是沒有完全瞭解應用程序的佈局，那麼它將被完全測試是不合適的。

 

測試目標

映射目標應用程序並瞭解主要工做流程。

 

如何測試

在黑盒測試中，測試整個代碼庫很是困難。不只由於測試人員沒有經過應用程序的代碼路徑的視圖，並且即便他們這樣作，測試全部代碼路徑也會很是耗時。協調這一點的一種方法是記錄發現和測試的代碼路徑。

有幾種方法能夠用於測試和測量代碼覆蓋率：

• 路徑 - 經過應用程序測試每一個路徑，該應用程序包括每一個決策路徑的組合和邊界值分析測試。雖然這種方法提供了完全性，但可測試路徑的數量隨着每一個決策分支呈指數增加。
• 數據流（或污點分析） - 經過外部交互（一般是用戶）測試變量的分配。重點介紹在整個應用程序中映射數據的流程，轉換和使用。
• Race - 測試操做相同數據的應用程序的多個併發實例。

應該與應用程序全部者協商關於使用什麼方法以及每種方法的使用程度的權衡。也能夠採用更簡單的方法，包括詢問應用程序全部者他們特別關注的功能或代碼部分以及如何訪問這些代碼段。

黑盒測試

爲了嚮應用程序全部者演示代碼覆蓋率，測試人員能夠從電子表格開始，並記錄經過應用程序（手動或自動）發現的全部連接。而後，測試人員能夠更仔細地查看應用程序中的決策點，並研究發現了多少重要的代碼路徑。而後應在電子表格中記錄這些內容，其中包含所發現路徑的URL，散文和屏幕截圖說明。

灰/白盒測試

使用灰色和白色框測試方法，確保應用程序全部者有足夠的代碼覆蓋率。由測試人員徵求並提供給測試人員的信息將確保知足代碼覆蓋的最低要求。

 

例

自動蜘蛛

自動蜘蛛是一種用於自動發現特定網站上的新資源（URL）的工具。它首先是要訪問的URL列表，稱爲種子，這取決於Spider的啓動方式。雖然有不少Spidering工具，但如下示例使用Zed攻擊代理（ZAP）：

ZAP提供如下自動爬行功能，可根據測試儀的需求進行選擇：

• 蜘蛛網站 - 種子列表包含已爲所選網站找到的全部現有URI。
• Spider子樹 - 種子列表包含已找到並存在於所選節點的子樹中的全部現有URI。
• Spider URL - 種子列表僅包含與所選節點對應的URI（在站點樹中）。
• Spider all in Scope - 種子列表包含用戶選擇爲「In Scope」的全部URI。