4.0 引言和目标

4.0 引言和目标

本节介绍 OWASP Web 应用程序安全测试方法，并说明如何测试由于已识别的安全控制缺陷而导致应用程序中的漏洞证据。

什么是 Web 应用程序安全测试？

安全测试是一种通过有条不紊地验证和验证应用程序安全控制的有效性来评估计算机系统或网络安全性的方法。Web 应用程序安全测试仅侧重于评估 Web 应用程序的安全性。该过程涉及对应用程序的任何弱点、技术缺陷或漏洞进行主动分析。发现的任何安全问题都将提交给系统所有者，以及对影响的评估、缓解建议或技术解决方案。

什么是漏洞？

漏洞是系统设计、实施、操作或管理中的缺陷或弱点，可被利用来破坏系统的安全目标。

什么是威胁？

威胁是指通过利用漏洞可能损害应用程序拥有的资产（有价值的资源，例如数据库或文件系统中的数据）的任何内容（恶意外部攻击者、内部用户、系统不稳定等）。

什么是测试？

测试是证明应用程序满足其利益干系人的安全要求的操作。

编写本指南的方法

OWASP方法是开放和协作的：

开放：每个安全专家都可以参与到项目中的经验。一切都是免费的。
协作：在撰写文章之前进行头脑风暴，以便团队可以分享想法并制定项目的集体愿景。这意味着粗略的共识、更广泛的受众和更多的参与。
这种方法往往会产生一个定义的测试方法，该方法将是：

Consistent
Reproducible
Rigorous
Under quality control

要解决的问题已完全记录和测试。使用各种方法来测试所有已知漏洞并记录所有安全测试活动非常重要。

什么是OWASP测试方法？

安全测试永远不会是一门精确的科学，可以定义应该测试的所有可能问题的完整列表。事实上，安全测试只是在某些情况下测试 Web 应用程序安全性的几种合适技术之一。该项目的目标是收集所有可能的测试技术，解释这些技术，并保持指南更新。OWASP Web应用程序安全测试方法基于黑盒方法。测试人员几乎没有关于要测试的应用程序的信息。

测试模型包括：

测试人员：谁执行测试活动
工具和方法：本测试指南项目的核心
应用：黑匣子测试
测试可分为被动或主动：

被动测试

在被动测试期间，测试人员尝试了解应用程序的逻辑，并以最终用户的身份探索应用程序。工具可用于信息收集。例如，HTTP（S） 代理可用于观察所有 HTTP（S） 请求和响应。在此阶段结束时，测试人员通常应了解系统的所有访问点和功能（例如，HTTP 标头、参数、cookie、API、技术使用/模式等）。信息收集部分介绍了如何执行被动测试。

例如，测试人员可能会在以下网址中找到一个网页：https://www.example.com/login/auth_form

这可能指示应用程序请求用户名和密码的身份验证表单。

以下参数表示应用程序的两个访问点：https://www.example.com/appx?a=1&b=1

在这种情况下，应用程序有两个访问点（参数和 ）。在此阶段找到的所有输入点都表示测试目标。在活动测试期间，跟踪应用程序的目录或调用树以及所有接入点非常有用。ab

主动测试

在主动测试期间，测试人员使用以下各节中描述的方法。

活动测试集分为 12 个类别：

信息收集
配置和部署管理测试
身份管理测试
身份验证测试
授权测试
会话管理测试
输入验证测试
错误处理测试
弱加密测试
业务逻辑测试
客户端测试
接口测试