碼上快樂

相關內容    簡體    繁體

OWASP安全測試指南-OTGv4

本文轉載自   查看原文   2020-04-04 17:19   686    OWASP安全測試指南

OWASP有多個項目,其中有安全開發指南,有代碼審計指南和安全測試指南
在web滲透測試中,我們可以測試web應用和測試系統安全
在測試系統安全中,我們安裝kali linux並已它為引子來體驗工具帶來的效率感
那么,在web滲透測試這一塊在閱讀了一些入門書籍和一些視頻以后,有必要再看一份重量級的安全指南已核對自己對於web應用安全的知識性理解
同時觀察自己學到的東西與這里的異同,讓自己在實戰中又更多的參考資料可以查詢

這個指南能慢慢描述一些其他書和視頻中沒有的東西。一般在書和視頻中有原理有工具有案例,這是普及知識的一種常識性操作,掌握這些是有必要的,它們都是一個引子,指引你更進一步的邁入安全行業的大門。然而,我們還得思考一下成長性問題:我學完了原理,工具后,那么下一步如何進步呢?這份安全測試指南,以及安全開發指南與代碼審計指南將非常適合進階。因為,它幫助我們慢慢的去思考,開發時不知道用什么代碼編寫而引入的安全漏洞問題;在得到源代碼以后看什么地方就能確認有漏洞的存在;以及發現問題,測試問題的安全測試指南。

  • 可以發現,這是web應用安全的進階知識,有必要讀一次

  • 最嚴重的安全問題不是一般的問題,而是與業務邏輯和自定義應用程序設計密切相關的問題。自動化軟件發生的是一般性的問題。

  • 我們可以做一個選擇,將時間花在自動化工具上解決掉很多一般性問題的缺陷;也可以選擇花在本指南中描述的技術上,已發現更嚴重的非一般性的問題缺陷
    一些優秀的工具,可以支撐你測試與發現問題的全過程,而前提是好馬配好鞍,你自身也得具備發現和辨識得出這些工具的優缺點的知識面。

  • 這里建議:非安全專家人員,還得已成長為重,多閱讀指南描述的技術方面。工具對於我們來說太過於遙遠,我們只是使用者,不是鑒定專家。最多可以干的事情就是更新一下工具的字典,更新一下版本和插件。要想真正意義上成長和突破,還是得多積累。

  • 它讓你接觸更全面的安全性問題,提升更高級別的思維意識。

  • 如同:你認為瞎子的R閃和E閃真的只是操作么,為什么玩不出牛頭的二連?因為這些操作沒過腦子。為什么團戰還沒有爆發你卻聞到了氣息,提前傳送?全都不是操作,而是你的意識影響到了你的行為。說白了,就是你提前想到了類似的問題可能會發生。

  • 它的意識告訴我們,安全是沒有銀彈的。威脅建模,風險評估,等其他精彩只言片語拔高意識。

  • 開源一定是對的?對於大企業來說,一定是。因為你把問題藏起來,別人破解可能會付出幾個月的時間才發現你的系統中最嚴重的漏洞。但是,如果你開源以后,很多嚴重的漏洞都被修補得差不多了。再遇到別人攻擊時,敵人需要付出的時間成本和知識超越性成本已幾何的倍數提升。

  • 開源的目的不是解決安全,正因為源代碼都給別人了才更加不安全。開源的目的是盡快把超級嚴重的漏洞都修補一下,給測試人員節省大量寶貴的時間。在這樣的情況下,如果還被人攻擊成功,你也會因此而結識到你的人生中最重要的朋友。不要提供證據送他入獄,應該因此機會馬上把他招聘過來。沒有什么面試技巧高於這樣的方式了。

  • 別去給中小企業測試:它們流動資金就幾十萬,願意在安全里面投入幾十上百萬?不破產才怪。你好心幫他們,他們反手就把你的測試證據送入局里,已正義之名來打擊正義。不要排斥windows,其實windows不好,linux也不好,誰給你的錢最多,才是最好的。不是嗎?

  • 滲透測試中大部分是發現並利用特定技術中的已知漏洞,而web應用大部分是自己定制開發出來的。web應用程序領域的滲透測試更類似於純研究。

  • 自動化的黑盒測試是無效的:web應用掃描工具是無效的。這樣的意識不妨礙我們使用web應用掃描工具。
    舉例1:一個網站是這樣的: http://www.host/application?magic=value
    維護人員為了遠程而寫的管理頁面是: http://www.host/application?magic=sf8g7sfjdsurtsdieerwqredsgnf-g8d
    你見過哪個web掃描器工具能爆破這么長的字符串嗎?見過的話,你真的發財了。

舉例2:用戶登錄A網站跳轉到B網站的功能,在A網站登錄生成一個密碼學的hash值,發送給B站點去匹配,如果匹配成功就認為這是合法用戶
在黑盒測試中,我們發現的只是一串128位的哈希值隨着用戶的變化而變化,更別說測試一下了。如果要測試的話,工具怎么寫?別的網站沒有了這些認證時又怎么辦?

  • 通過以上兩個案例,將我們的意識帶入到了從軟件的整個生命周期來思考:從定義方案,設計方案,開發方案的功能,部署應用環境,維護應用等多方面來思考與多方面測試,而不是僅在最后產品上線時用個掃描器去測。既然目的是解決安全提高效率,而不是試探別人的能力水平有多高的話,那就從全局中的各個環境中多角度測試。

  • 要試探別人的能力很簡單,只要你是大企業有錢,就會有敵人或同行窺探到你。不需要你試探人心,社會會給你好好上一課什么叫安全事件。

  • 威脅建模側重於在設計過程中識別安全缺陷,安全代碼分析和審查側重於在開發過程中識別源代碼中的安全問題,滲透測試側重於在測試或驗證過程中識別應用程序中的漏洞。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 OWASP固件安全性測試指南 安全性測試:OWASP ZAP使用入門指南 安全性測試:OWASP ZAP 2.8 使用指南(一):安全測試基礎及ZAP下載、安裝 安全性測試:OWASP ZAP 2.8 使用指南(四):ZAP掃描移動應用安全 安全性測試:OWASP ZAP 2.8 使用指南(二):ZAP基礎操作 安全性測試:OWASP ZAP 2.8 使用指南(三):ZAP代理設置 【安全測試】OWASP ZAP 安全掃描 【安全測試】Owasp Dependency-check 集成jenkins 如何搭建OWASP測試靶機 OWASP API 安全 TOP 10
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM