WEB应用安测试方法论.pdfVIP

OWASP Testing Guide Introduction 何勇亮何勇亮 上海市信息安全测评认证中心 上海市信息安全测评认证中心 EMAIL:hyyledward@g@ WEBSITE: 内容内容 OWASP Testing Guide 内容介绍 OWASP Testing Guide 内容介绍 安全测试理论 OWASP测试框架 测试实例测试实例 测试报告测试报告 OWASPOWASP TestingTesting GuideGuide内容介绍内容介绍 OWASP指南系列： OWASP指南系列： OWASP应用安全基础参考 OWASPOWASP开发者指南开发者指南 OWASP测试指南 OWASP代码检测指南 OWASPOWASP TestingTesting GuideGuide内容介绍内容介绍 目标读者： 目标读者： 软件开发者 软件测试者软件测试者 安全专家 安全测试理论安全测试理论 测试的四个基本问题 测试的四个基本问题 测试的基本原则 基本测试技术 安全需求测试推导安全需求测试推导 测试的四个基本问题测试的四个基本问题 什么是测试？ 什么是测试？ 是将一套系统/应用程序的状况与一系列标准进行对比 的过程的过程 为何测试？ 对全面的WEB 应用安全计划所需的各种因素有一个全 面的了解 测试的四个基本问题测试的四个基本问题 何时测试 何时测试？ 最佳的方法之一是将安全测试融入到软件开发生命周期每 一个阶段以防止安全漏洞的出现个阶段以防止安全漏洞的出现。。 测试的四个基本问题测试的四个基本问题 测试什么 测试什么？ 人员：确保其经历足够的知识水平和意识 过程过程：确保有足够的政策和标准确保有足够的政策和标准 技术：确保某一进程已经被有效的执行 测试的基本原则测试的基本原则 没有银弹(Silver Bullet) 没有银弹(Silver Bullet) 战略性思考，而非策略 SDLCSDLC才是王道才是王道 及早测试、频繁测试 理解安全的范围 树立正确的思想树立正确的思想 认识测试主体 测试的基本原则测试的基本原则 使用合适的工具 使用合适的工具 难在细节 适当情况下请使用源代码 开发指标开发指标 对测试结果进行文档记录 基本测试技术基本测试技术 人工检查及复查 人工检查及复查 通过人工检查或者审核的方式对应用开发过程中的人， 策略和进程策略和进程，包括技术决策如开发模型设计进行安全检包括技术决策如开发模型设计进行安全检 测。 方式方式：：文件分析或对设计师或系统的所有者进行访谈文件分析或对设计师或系统的所有者进行访谈 对象：文件、代码安全策略、安全要求、架构设计 基本测试技术基本测试技术 软件威胁建模 应用风险评估 软件威胁建模 （应用风险评估） 分解应用程序——通过人工检查理解应用程序如何运作， 它的资产，功能和连接。 界定和归类资产——将资产分为有形资产和无形资产并 根据业务的重要性进行排名。 探索潜在的弱点——无论是技术上，运营上，或是管理。 探索潜在的威胁——通过使用威胁情景((thread  scenarios)或攻击树(attack trees) ，从攻击者的角度制定 一个切合实际的潜在攻击矢量图。 建立迁移战略——为每一个可能演变成破坏的威胁制定 迁移战略 基本测试技术基本测试技术 代码复查 代码复查 并发的问题，有缺陷的业务逻辑，访问控制的问题，加 密的弱点密的弱点，后门后门，木马木马，复活节彩蛋复活节彩蛋，定时炸弹定时炸弹，逻辑逻辑 炸弹，和其它形式的恶意代码。 基本测试技术基本测试技术 渗透测试 渗透测试 渗透测试在本质上是“艺术”，在不知道内部运作的应