- 1、本文档共28页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
OWASP Testing Guide Introduction
何勇亮何勇亮
上海市信息安全测评认证中心
上海市信息安全测评认证中心
EMAIL:hyyledward@g@
WEBSITE:
内容内容
OWASP Testing Guide 内容介绍
OWASP Testing Guide 内容介绍
安全测试理论
OWASP测试框架
测试实例测试实例
测试报告测试报告
OWASPOWASP TestingTesting GuideGuide内容介绍内容介绍
OWASP指南系列:
OWASP指南系列:
OWASP应用安全基础参考
OWASPOWASP开发者指南开发者指南
OWASP测试指南
OWASP代码检测指南
OWASPOWASP TestingTesting GuideGuide内容介绍内容介绍
目标读者:
目标读者:
软件开发者
软件测试者软件测试者
安全专家
安全测试理论安全测试理论
测试的四个基本问题
测试的四个基本问题
测试的基本原则
基本测试技术
安全需求测试推导安全需求测试推导
测试的四个基本问题测试的四个基本问题
什么是测试?
什么是测试?
是将一套系统/应用程序的状况与一系列标准进行对比
的过程的过程
为何测试?
对全面的WEB 应用安全计划所需的各种因素有一个全
面的了解
测试的四个基本问题测试的四个基本问题
何时测试
何时测试?
最佳的方法之一是将安全测试融入到软件开发生命周期每
一个阶段以防止安全漏洞的出现个阶段以防止安全漏洞的出现。。
测试的四个基本问题测试的四个基本问题
测试什么
测试什么?
人员:确保其经历足够的知识水平和意识
过程过程:确保有足够的政策和标准确保有足够的政策和标准
技术:确保某一进程已经被有效的执行
测试的基本原则测试的基本原则
没有银弹(Silver Bullet)
没有银弹(Silver Bullet)
战略性思考,而非策略
SDLCSDLC才是王道才是王道
及早测试、频繁测试
理解安全的范围
树立正确的思想树立正确的思想
认识测试主体
测试的基本原则测试的基本原则
使用合适的工具
使用合适的工具
难在细节
适当情况下请使用源代码
开发指标开发指标
对测试结果进行文档记录
基本测试技术基本测试技术
人工检查及复查
人工检查及复查
通过人工检查或者审核的方式对应用开发过程中的人,
策略和进程策略和进程,包括技术决策如开发模型设计进行安全检包括技术决策如开发模型设计进行安全检
测。
方式方式::文件分析或对设计师或系统的所有者进行访谈文件分析或对设计师或系统的所有者进行访谈
对象:文件、代码安全策略、安全要求、架构设计
基本测试技术基本测试技术
软件威胁建模 应用风险评估
软件威胁建模 (应用风险评估)
分解应用程序——通过人工检查理解应用程序如何运作,
它的资产,功能和连接。
界定和归类资产——将资产分为有形资产和无形资产并
根据业务的重要性进行排名。
探索潜在的弱点——无论是技术上,运营上,或是管理。
探索潜在的威胁——通过使用威胁情景((thread
scenarios)或攻击树(attack trees) ,从攻击者的角度制定
一个切合实际的潜在攻击矢量图。
建立迁移战略——为每一个可能演变成破坏的威胁制定
迁移战略
基本测试技术基本测试技术
代码复查
代码复查
并发的问题,有缺陷的业务逻辑,访问控制的问题,加
密的弱点密的弱点,后门后门,木马木马,复活节彩蛋复活节彩蛋,定时炸弹定时炸弹,逻辑逻辑
炸弹,和其它形式的恶意代码。
基本测试技术基本测试技术
渗透测试
渗透测试
渗透测试在本质上是“艺术”,在不知道内部运作的应
您可能关注的文档
- vCenter AppSpeed应用性能监管.pdf
- vcenter全新安装及群集配置介绍.docx
- VCE题库打开软件Visual CertExam详细使用教程.pdf
- VCL窗口函数注册机制研究手记,兼与MFC比较.doc
- VC环境下的调试.pdf
- vc界面编程经典实例3.pdf
- VC数据库编程讲座.ppt
- Veeam_Backup_7部署参考资料.pdf
- Velocity模板使用指南中文版.doc
- VHDL硬件描述语言与数字逻辑电路设计.pdf
- 构成设计(项目式全彩微课版)课件全套 肖庆 模块1--3 平面构成、色彩构成、立体构成.pptx
- 2023年(A特种设备相关管理(电梯))100题.pdf
- 2011-2021年广东梅州市五华县通用知识真题汇总.pdf
- 监理工程师之交通工程目标控制综合提升练习题附带答案.docx
- 2023年执业药师之西药学专业二通关检测卷和答案.docx
- 心理咨询师之心理咨询师三级技能测试卷附带答案.docx
- 2022-2023年初级经济师之初级经济师工商管理通关模拟卷.docx
- 施工员之设备安装施工基础知识检测卷包括详细解答.docx
- 2022-2023年监理工程师之水利工程目标控制训练试卷附有答案详解.docx
- 注册环保工程师之注册环保工程师公共基础通关试卷含答案讲解.docx
文档评论(0)