OWASPæµè¯æå
OWASPæµè¯æå
OWASPæµè¯æå
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
OWASP 测 试 指 南 v3.0<br />
4 WEB 应 用 渗 透 测 试<br />
这 一 章 讲 述 OWASP 网 页 应 用 渗 透 性 测 试 技 术 , 并 且 解 释 如 何 测 试 每 个 弱 点 .<br />
4.1 说 明 简 介<br />
何 谓 OWASP 网 页 应 用 渗 透 性 测 试 ?<br />
渗 透 性 测 试 是 通 过 模 拟 入 侵 或 者 袭 来 评 估 电 脑 系 统 或 者 网 络 在 的 安 全 性 的 一 种 方 法 . 一 个 网 页 应 用 的 渗 透 性 测 试 只<br />
评 估 网 页 应 用 的 安 全 性 。<br />
整 个 流 程 包 括 积 极 分 析 应 用 的 弱 点 , 技 术 缺 陷 , 或 者 漏 洞 。 任 何 被 发 现 的 安 全 问 题 将 被 提 交 给 这 个 系 统 的 所 有 者 ,<br />
同 时 被 提 交 的 还 有 对 此 安 全 问 题 所 产 生 影 响 的 评 估 , 以 及 减 小 或 降 低 这 个 问 题 所 产 生 风 险 的 建 议 书 或 技 术 解 决 方<br />
案 。<br />
何 谓 漏 洞 ?<br />
漏 洞 是 在 系 统 设 计 , 实 现 , 或 操 作 管 理 中 可 以 利 用 的 一 个 缺 陷 或 者 一 个 弱 点 , 它 能 破 坏 系 统 安 全 策 略 。 威 胁 是 利 用<br />
漏 洞 产 生 的 潜 在 攻 击 , 可 能 危 害 应 用 资 产 ( 有 价 值 的 资 源 , 如 数 据 库 中 的 数 据 或 文 件 系 统 的 数 据 )。 测 试 就 是 在 应<br />
用 中 找 到 漏 洞 。<br />
何 谓 OWASP 测 试 方 法 ?<br />
渗 透 性 测 试 从 不 是 一 门 精 准 的 能 够 定 义 所 有 可 能 需 要 测 试 的 问 题 的 科 学 。 事 实 上 , 渗 透 性 测 试 只 是 适 合 在 一 定 环 境<br />
下 测 试 WEB 应 用 安 全 的 一 种 技 术 。 目 的 是 收 集 所 有 可 能 的 测 试 技 术 并 进 行 解 释 然 后 及 时 更 新 技 术 指 南 。 OWASP 网<br />
页 应 用 渗 透 性 测 试 是 基 于 黑 盒 测 试 方 法 。 测 试 人 员 不 知 道 或 者 仅 仅 知 道 一 点 关 于 被 测 试 的 系 统 。 测 试 的 模 型 包 括<br />
:<br />
• 测 试 者 : 执 行 测 试 的 人 员<br />
• 工 具 和 方 法 : 测 试 指 导 项 目 的 核 心<br />
• 应 用 : 用 于 测 试 的 黑 盒<br />
测 试 分 成 2 个 阶 段<br />
• 被 动 模 式 : 在 被 动 模 式 里 面 , 测 试 人 员 尽 力 去 明 白 应 用 的 逻 辑 并 使 用 系 统 。 可 以 用 工 具 进 行 信 息 的 收 集 。<br />
比 如 http 代 理 器 观 察 http 的 请 求 和 响 应 。 在 这 个 阶 段 的 最 后 , 测 试 人 员 应 该 了 解 这 个 应 用 所 有 的 控 制 点<br />
( 比 如 Http 头 , 参 数 ,cookies)。 信 息 收 集 章 节 具 体 解 释 了 如 何 执 行 被 动 模 式 的 测 试 。 比 如 , 测 试 者 应<br />
该 看 如 下 的 信 息 :<br />
https://www.example.com/login/Authentic_Form.html<br />
这 个 展 示 了 一 个 认 证 的 表 单 , 需 要 一 个 用 户 名 和 密 码 。<br />
47
Change language