web安全测试业务主要围绕流程、标准、规范三个方面展开,其中流程是核心,标准和规范在流程运作中落地与执行。
当需要测试的web应用数以千计,就有必要建立一套完整的安全测试流程,流程的最高目标是要保证交付给客户的安全测试服务质量。
- 立项:项目建立,时间安排,人力分配,目标制定,厂商接口人确定;
- 系统分析&威胁分析:针对具体的web应用,分析系统架构、使用的组件、对外提供的接口等,以STRIDE为威胁模型进行对应的安全威胁分析,输出安全威胁分析表,重点关注top3威胁;
- 制定测试用例:根据威胁分析的结果制定对应的测试用例,测试用例按照模板输出,具备可执行性;
- 测试执行&漏洞挖掘:测试用例执行&发散测试,挖掘对应的安全问题or漏洞;
- 问题修复&回归测试:指导客户应用开发方修复安全问题or漏洞,并进行回归测试,确保安全问题or漏洞得到修复,并且没有引入新的安全问题;
- 项目总结评审:项目过程总结,输出文档评审,相关文档归档。