OWASP测试指南：全面渗透与安全审计

5星 · 超过95%的资源需积分: 11 83 浏览量更新于2024-07-27 1 收藏 8.74MB PDF 举报

OWASP测试指南是一份由OWASP（开放Web应用程序安全项目）发布的权威文档，旨在提供一套全面的网络安全渗透测试、防护和安全开发的最佳实践。该指南在2008年发布了V3.0版本，特别感谢杭州安恒信息技术有限公司和微软中国有限公司的支持。这份文档遵循Creative Commons Attribution-ShareAlike 3.0 许可协议，确保了知识的共享和传播。指南的主要内容分为五个部分： 1. **前言**：介绍了指南的目标读者，包括系统管理员、开发人员和安全专业人士，以及为什么选择OWASP作为安全测试的参考标准。强调了自动化工具在测试过程中的作用，并鼓励行动起来提升Web应用安全性。 2. **首页**：欢迎读者使用3.0版的测试指南，简述了OWASP组织的使命，即提高Web应用程序的安全性。 3. **导言**：讲解了测试的基本原理，包括测试的目的和方法，以及如何通过测试来推导出安全需求。 4. **OWASP测试框架**：详细阐述了五个阶段的测试流程： - 开发开始前的测试，确保项目早期就考虑到安全因素。 - 定义和设计阶段的测试，关注系统架构和设计漏洞。 - 开发过程中的测试，检测编码错误和设计缺陷。 - 发展阶段的测试，评估功能实现和性能对安全的影响。 - 维护和运行阶段，持续监控系统的安全状态。 5. **WEB应用渗透测试**：深入解析了各种具体的测试技术，如信息收集（包括搜索、入口识别、指纹测试等）、配置管理测试（如SSL/TLS、数据库监听、文件扩展名处理等）、认证测试（如加密通道和用户枚举），以及错误代码分析。通过这份指南，读者可以了解到如何进行全面且系统地进行Web应用安全测试，以便及时发现并修复潜在的安全漏洞，提升应用的安全性和可靠性。同时，它也强调了安全测试的重要性，并倡导业界共同关注和改善Web应用安全。

� 寻求 OWASP 材料的建议和反馈意见

� 邀请参加 OWASP 的共识进程和 AppSec 会议

OWASP 出版的成员组织和个人会员名单纯属个人意愿 “ 选入 ” 的。名单上的成员可以在任何时间要求自己的名字不

再出现在名单上。所有您寄给我们的传真或邮件中关于您或您组织的信息都是受到物理保护的。如果您有任何问题

或疑虑，想了解我们的隐私策略，请与我们联系： owasp@owasp.org

OWASP 测试指南 v3.0

2. 导言

OWASP 测试项目已经发展了许多年。通过这个项目，我们希望帮助人们了解自己的 Web 应用程序，为什幺、什幺

时间、什幺地方、什幺方法来对 WEB 应用程序进行测试，而不是仅仅提供一个简单的漏洞检查列表或者问题的简

单药方。该项目的输出是一个完整的测试框架，人们可以根据需要建立自己的或符合其它进程的测试程序。测试指

南详细的介绍了一般测试框架以及实践中该框架的实施技术。

创作这份测试指南是一项艰巨的任务。要获取大家的一致认可同时发展内容是一个极具挑战的任务。这不仅需要使

人们接受这里所描述的概念，同时使他们能够真正将这些概念应用于自己的环境和文化中。同时，这也是对将目前

Web 应用测试重点 —— 渗透测试转变为测试集成于软件开发生命周期过程中的挑战。

然而，我们已经达到非常满意的结果。许多业内专家和世界上一些大型公司的软件安全负责人共同验证了这个测试

框架。这个测试框架帮助各类组织能够有效针对 Web 应用程序进行测试以便建立安全可靠软件，而不是简单地强

调脆弱点。虽然后者无疑是许多 OWASP 指南和清单的一个副产品。因此，对于某些测试方法和技术，我们作出了

艰难的选择，因为我们都明白并这些方法和技术并不是适用于每一个人。然而，随着时间的推移， OWASP 能够在丰

富的经验和协商一致的基础上通过宣传和教育达到更高的层次并进行文化变革。本指南其余部分的编排如下：介绍

部分涉及测试 Web 应用程序的先决条件：测试的范围，成功的测试的原则和测试技术。第 3 章介绍了 OWASP 测试

框架，并说明与软件开发生命周期各个阶段有关的技术和任务。第 4 章涉及如何对代码的具体脆弱性（例如， SQL

注入）进行检查和渗透测试。

安全衡量：不安全软件带来的经济损失

软件工程的基本原则就是你无法控制那些你无法衡量的 [ 1 ] 。安全测试也一样。不幸的是，安全衡量是一个非常困

难的过程。这里我们将不会详细涉及这一话题，因为它自己提供一个指导（详细介绍请参见 [2] ）

然而我们需要强调的是，安全衡量标准是关于具体的技术问题（例如，某个漏洞是如何普遍）和这些问题给软件带

来的经济影响两大方面。我们发现，大多数技术人员至少能够基本理解安全弱点问题所在，甚至对安全弱点有着更

深入的了解。但是可悲的是很少有人能够把这种技术知识转化为货币计算，从而量化应用程序所存在安全漏洞给所

有者带来的潜在损失。我们认为直有发生这种情况， CIO 们才会制定出一个准确的安全投资回报率，并分配适当的

软件安全预算。

虽然对不安全软件带来的损失进行估算是一项艰巨的任务，然而最近却已经出现了大量此方面的工作方向。例如，

在 2002 年 6 月，美国国家标准局（ NIST ）发表了一份调查报告：由缺乏软件测试而导致的不安全软件给美国经济

带来的损失 [ 3 ] 。有趣的是，他们估计，更好的测试基础设施将节省三分之一以上的费用，或约 220 亿美元一年。

最近，学术研究机构也开展了对经济和安全之间联系的研究。（详细信息请参见 [4] 了解其中的一些努力）

本文档中所描述的测试框架鼓励人们对整个发展进程进行安全衡量。人们可以将不安全软件所带来的经济损失与自

身业务相联系，从而制定出适当的商业决策（资源）来进行风险管理。请记住： Web 应用安全衡量和测试，甚至比

其它软件更为重要，因为 Web 应用程序通过互联网广泛传播给数以百万计的用户使用。

什幺是测试

我们所说的测试到底是什幺意思？在 Web 应用生命循环发展期间，很多内容都需要测试。 Merriam-Webster 字典中

对测试的介绍如下：

•

进行检测或证明

•

进行检测

• 在测试的基础上明确其规格和评估结果

在这份文档中，测试指的是将一套系统 / 应用程序的状况与一系列标准进行对比的过程。在安全界，人们采用的测试

标准往往既没有明确的定义没有完整的架构。出于这个原因和其它原因，许多外界人员将安全测试作为一种黑色艺

术。本文档的目的在于改变传统观念，使人们可以在没有深入的安全知识背景的情况下更加轻松地测试。

为何测试

本文档旨在帮助各类组织了解测试项目内容，并帮助他们确定他们需要构建及操作用于测试 Web 应用程序的步

骤。它的目的是对全面的 WEB 应用安全计划所需的各种因素有一个全面的了解。本指南可作为参考方法来帮助您

衡量您现有的做法和行业最佳做法的差距。本指南允许各组织与其同行进行比较，了解进行软件测试和维护或者进

行审计所需资源的规模。本章不对如何测试一个应用程序的技术细节进行详细讨论，旨在提供一个典型的安全组织

框架。对应用程序进行测试的技术细节，将作为渗透测试或代码审查部分，将在余下的章节进行详细讨论。

何时测试

大多数人都会在软件建立以及进入生命周期中的部署阶段（即代码已创建或已实例化为一个正在工作的 Web 应用

程序）才开始对软件进行测试。这是一种无效的成本高昂的测试行为。最佳的方法之一是将安全测试融入到软件开

发生命周期每一个阶段以防止安全漏洞的出现。软件开发生命周期是指软件设计的构建块程。如果软件开发生命周

期并不适用于你目前正在使用的开发环境，现在正是时候挑选一个！下图显示一个通用软件开发生命周期模型，以

及在这样一种模式下修复安全漏洞所增加的费用（估计数）。

OWASP 测试指南 v3.0

图 1: 通用软件开发生命周期模型

软件开发公司应对其总体软件开发生命周期进行检查，确保安全是开发进程中不可分割的一部分。软件开发生命周

期应包含安全测试内容以确保在整个开发进程安全被充分涵盖并得到有效控制。

测试什幺

将软件开发当作是人、过程和技术相结合的整体的想法是有益的。如果这些都是 “ 创造 ” 软件的因素，那幺我们认

为必须对所有这些因素进行测试。然而目前大多数测试工程师所测试的仅仅是技术或软件本身。

一个有效的测试计划应包括以下测试部分：人员 —— 确保其经历足够的知识水平和意识；过程 —— 确保有足够的政

策和标准，人们知道如何遵循这些政策；技术 —— 确保某一进程已经被有效的执行。除非采用这样的整体测试方

法，否则只测试应用的技术执行将不能涵盖到目前可能存在的管理或运营漏洞。通过对人员，策略以及过程进行测

试，企业或组织可以提前获知那些后来才会自行凸现出来的技术缺陷，从而能尽早消除缺陷并查明缺陷产生的根

源。同样，在一个系统之只对一些技术问题进行测试，将导致不完整不准确的安全现状评估。 Fidelity 国家金融信息

安全负责人 Denis Verdon ，在 2004 年纽约举行的 OWASP 应用安全大会中为这种误解提出了一个很好的比喻 [5] ：

“ 如果将一辆汽车比作一个应用程序 …… 那幺目前的应用安全测试则象征了汽车的正面碰撞测试。汽车并没有进行

翻滚测试，或紧急情况下的稳定性测试，制动效能测试，侧面碰撞测试以及防窃措施测试。

意见反馈

如同所有的 OWASP 的项目，我们欢迎各界的评论和反馈。我们特别希望了解到我们的成果正在被使用，以及它非

常有效和准确。

测试原理

对于开发一个剔除软件安全漏洞的测试方法，存在一些常见的误解。

本章所涉及一些基本原则，专业人士在进行软件安全漏洞测试时应加以考虑。

没有银弹 (Silver

(Silver

(Silver Bullet)

Bullet)

当你试图思考安全扫描器或应用防火墙既不能提供各类攻击防御和辨别各类安全问题的时候，实际上不存在一下子

就能解决不安全软件问题的方法。应用程序安全评估软件，只能作为发现伸手就能摘到的果实的第一张通行证，通

常并不能充分覆盖到应用的各个层面，从而不能提供成熟有效的详细评估。切记：安全是一个过程，不是某个产

品。

战略性思考，而非策略

在过去几年中，安全专家已经逐渐认识到 90 年代深入信息安全界的 “ 补丁 - 渗透 ” 测试模型存在的缺陷。该测试模

型将提交一个错误报告，但并不会经过适当的调查以明确问题所在的根源。这种测试模型通常与下图中显示的安全

漏洞相关联。全球通用软件中漏洞的演变表明了该测试模型的无效性。欲了解更多有关安全漏洞的信息，请参阅 [ 6 ]

。脆弱性研究 [7] 显示随着世界范围内的攻击者的反应时间增快，典型的安全漏洞并没有提供足够的时间安装补丁程

序，因为安全漏洞的修补与自动攻击工具的开发之间的时间差在逐年减少。还有一些对 “ 补丁 - 渗透 ” 测试模型的错

误猜想：补丁干扰正常运作，并可能破坏现有的应用程序，并不是所有的用户都能（最终）意识到了补丁的可用

性。因此并非所有的产品的用户将适用于安装补丁，或者是由于以上这个问题或者是因为他们对补丁的存在缺乏了

解。

图 2: “ 补丁 - 渗透 ” 测试模型

为了防止一个应用程序再次发生安全问题，将安全融入到软件开发生命周期（ SDLC ）每一个阶段，并通过制定适合

有效的开发方法标准，策略和指导方针是十分必要的。威胁建模与其它技术应该用来帮助区分系统中的哪些部分的

特定资源是危险的。

SDLC

SDLC 才是王道

软件开发生命周期是每一个开发人员都非常了解的一个过程。通过将安全的概念纳入到软件开发生命周期中的各个

阶段，可以对应用安全采用综合方法以实现该组织内各程序的平衡。不同阶段的名称可能会根据各组织所采用的

SDLC 模型的改变而改变，每一个原始 SDLC 的概念阶段都将被用来开发应用（例如，定义，设计，开发，部署，维

护）。每个阶段的安全考虑都应当成为现行进程的一部分，以确保安全计划全面有效。

及早测试、频繁测试

漏洞及早在软件开发生命周期中被查出，它可以迅速被修补并花费较低的成本。在这里，安全漏洞可被等价看作一

个功能或基于性能的漏洞。实现这个目标最关键的一步在于教育开发部门和 QA 部门关于常见的安全问题以及发现

和防范的方法。虽然最新的图书、工具或者语言也许帮助设计更好的计划 ( 产生少量的漏洞 ) ，然而新的威胁频繁出

现，它们的开发者必须认识到这些新威胁对他们所开发的软件所带来的影响。安全测试的教育将帮助开发者从攻击

者的渗透行为中获取适用的应用程序测试思路。每个企业或组织都应将安全问题作为他们现有的责任的一部分。

理解安全的范围

剩余370页未读，继续阅读

ddd456u

粉丝: 0
资源: 8

OWASP测试指南：全面渗透与安全审计

OWASP OWTF中文指南.pdf

OWASP测试指南（中文） v3.0

OWASP安全测试指南v4（英文版）

OWASP测试指南与PTES框架在Web应用程序渗透测试中各自扮演什么角色？

在进行Web应用程序渗透测试时，如何分别应用OWASP测试指南和PTES框架来实现有效的安全评估？

owasp_testing_guide

owasp testing guide v4 中文版.pdf

owasp v4 应用安全测试指南

渗透测试学owasp就够了吗

OWASP与PTES在移动应用安全渗透测试中有哪些独特的应用和优势？

最新资源