Web应用程序安全测试的系统文献综述" (13字)

制作和主办：Elsevier沙特国王大学学报Web应用程序的安全测试：文献的系统映射MuratAydosa，AlperenAldanb，EvrenCo，s kunc，AlperenAldanc土耳其Hacettepe大学计算机工程系bInvicti Security，美国c土耳其航空航天工业公司，土耳其阿提奇莱因福奥文章历史记录：2021年6月21日收到2021年8月19日修订2021年9月15日接受2021年9月22日在线提供保留字：安全测试Web应用程序安全系统映射系统文献映射系统文献综述A B S T R A C TWeb应用程序安全性是任何基于Web的业务的主要组成部分。Web应用程序会受到来自不同位置的各种规模和复杂程度的攻击在这种背景下，大量的测试技术，工具和框架已被从业者和研究人员提出，以有效和高效地测试Web应用程序的安全性目的：随着Web应用程序安全性方面的论文数量的增加以及该研究领域的成熟，对从业者或新研究人员来说，审查和概述该领域越来越具有挑战性。我们的目标是总结最先进的Web应用程序安全测试，这可能有利于从业者潜在地利用这些信息。方法：我们回顾和构建了与Web应用程序安全测试相关的知识体系，以系统的文献映射（SLM）的形式。作为这项研究的一部分，我们提出了四套研究问题，定义选择和排除标准，并系统地开发和完善分类方案。最初的样本池包括154篇文章。在作者中对文章的纳入/排除结果，我们的最终库中有80篇技术文章根据我们的纳入和排除标准，第一篇文章发表于2005年，本次综述包括截至2020年底的所有论文。于2020年12月、2021年1月及2月，已进行搜寻阶段。结果：这篇综述文章提供了Web应用程序安全测试的概述，并有不同的重点标题。这些标题涵盖贡献类型、Web安全测试工具及其子功能、安全测试的特定问题/功能（如漏洞类型）、测试系统（SUT）重点标题等。结论：本文的研究结果对从事Web应用程序安全测试的研究人员具有一定的参考价值。此外，它可能是有用的开发人员谁讨论应用程序的安全性，而他们开发的Web应用程序。通过本文的研究，可以使这些研究人员利用这些研究成果，并利用它们来捕捉Web应用程序安全测试和安全开发的趋势。版权所有©2021作者。由爱思唯尔公司出版代表沙特国王大学这是一个开放的访问CC BY-NC-ND许可证下的文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。内容1.介绍67762.背景和相关工作6777*通讯作者。电子邮件地址：maydos@hacettepe.edu.tr（M. Aydos），ecoskun@tai.com.tr（E. 公司，skun），alperentai.com.tr。丹）。沙特国王大学负责同行审查https://doi.org/10.1016/j.jksuci.2021.09.0181319-1578/©2021作者。由爱思唯尔公司出版代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页：www.sciencedirect.comM. 艾多斯Aldan，E. C o，skun等人沙特国王大学学报67762.1.Web应用程序安全测试概述67772.2.相关工作：该领域的其他综述论文67773.研究方法67773.1.目标和研究问题67783.2.来源选择和搜索查询定义67793.3.排除和入选标准67793.4.最后文件汇编和在线资料库3.5.分类方案67813.6.数据提取和审查67824.结果67814.1.第1组：所有系统性文献映射研究共有67814.1.1.RQ 1.1：按贡献方面划分的论文类型67814.1.2.RQ 1.2：按研究领域划分的论文类型67844.2.第2组：特定于Web安全测试工具67854.2.1.RQ 2.1：使用的Web安全测试工具67854.2.2.RQ 2.2：许可证类型67854.2.3.RQ 2.3：分析技术67854.2.4.RQ 2.4：自动化水平67864.2.5.RQ 2.5：精确对焦67864.3.第3组：特定于安全测试67864.3.1.RQ 3.1：漏洞类型67864.3.2.RQ 3.2：违规类型67874.3.3.RQ 3.3：SDLC聚焦67874.4.第4组：特定于受试系统（SUT）67874.4.1.RQ 4.1：Web应用程序类型67874.4.2.RQ 4.2：SUT编号和名称67874.4.3.RQ 4.3：开发SUT 67894.4.4.RQ 4.4：连接类型67895.讨论67895.1.本研究的益处5.2.限制和对有效性的潜在威胁67906.结论和今后的工作6791竞争利益声明附录A. 补充资料6791参考文献67911. 介绍Web应用程序是越来越重要的商业工具。企业和组织使用Web应用程序来提供从组织到个人的各种用途的常用的Web应用包括电信、医疗、教育、金融、电子商务和信息技术领域。由于Web应用程序的异构性和复杂性日益增加，它们的安全性对于企业和组织的成功至关重要。因此，安全测试对Web应用程序起着重要的作用，是一项必不可少的工作。Web应用程序近年来变得非常流行，由于Web应用程序的广泛使用，它们包含缺陷。 其中一些缺陷包括漏洞，它增加了许多攻击的发生，这些攻击削弱了Web安全性并破坏了Web应用程序的完整性，给组织带来了风险。安全测试是一个过程。其目的是发现Web应用程序中的安全漏洞，并确保Web应用程序功能的安全性。重要的是要知道，Web安全测试是测试业务逻辑，输入验证，输出编码，身份验证和授权问题，以避免常见的错误，如SQL注入，跨站脚本（XSS）等。OWASP（Open Web Application Security Project，开放式Web应用程序安全项目）的十大安全漏洞。OWASP是一个开放的社区，组织使用OWASP Top 10列表来开发安全的Web应用程序，只有使用安全的SDLC（软件开发生命周期）。OWASP Top 10列表以及数千个其他已知漏洞可以通过Web应用程序安全测试工具自动检测或由安全专家手动检测。黑盒和白盒测试主要用于安全测试工具开发，以发现Web应用程序中的大多数脆弱性和安全缺陷。在黑盒测试中，将测试用例提供给软件，并检查结果以预测漏洞或错误，同时执行白盒测试以检查错误或易受攻击的代码（Pariwish等人， 2019年）。为了解决上述问题，并通过回顾漏洞、Web应用程序检测工具及其技术、应用Web应用程序及其技术，确定Web应用程序安全测试的需求并填补空白，我们对学术界和行业研究人员撰写的论文进行了系统的文献综述（SLR），并在本文中给出了综述摘要。为了系统地回顾和概述特定研究领域的研究，系统文献综述（SLR）和系统（文献）映射（SLM或SM）研究是既定的方法。我们的综述库包括在会议和期刊上发表的80篇技术论文第一篇论文发表于2005年，这篇综述包括了截至2020年底的所有论文。SLR的组织如下。背景和相关工作见第2节。我们在第3节中描述了我们的研究方法和计划阶段。第4节介绍了文献综述的结果。第5总结了调查结果M. 艾多斯Aldan，E. C o，skun等人沙特国王大学学报6777以及本次审查的潜在益处最后，在第6中，我们得出结论，并建议进一步研究的领域在附录中，我们列出了本次调查中回顾的主要研究列表2. 背景和相关工作这项工作是在Web应用程序安全测试的背景下进行的审查研究。在本节中，为了理解本文的其余部分，我们首先提供了Web应用程序安全测试的概述，然后我们讨论了一些相关的工作，这些工作是该领域现有的系统性文献综述论文。2.1. Web应用程序安全测试Web应用程序安全性是任何基于Web的业务的主要组成部分。由于互联网的性质，Web应用程序受到来自不同位置的各种规模和复杂程度的攻击。在这种背景下，大量的测试技术，方法，工具和框架已经提出了从业者和研究人员在过去的几十年中，有效地和高效地测试Web应用程序的安全性Web应用程序是一种通常通过Web浏览器使用的软件形式，并且它通常使用服务器端脚本和客户端脚本的组合。它可以用各种语言编写，并在各种操作系统上运行Web应用程序的所有功能都使用超文本传输协议（HTTP ）与 Web 服务器进行通信，其结果通常以HTML格式显示由于Web应用程序的异构性和复杂性日益增加，它们的安全性对于企业和组织的成功至关重要。因此，安全测试对Web应用程序起着重要的作用，是一项必不可少的工作。在测试Web应用程序的安全性时，OWASP是一个全球性的自由开放社区，致力于提高应用软件的安全性，结合OWASP Top 10、代码审查指南、开发指南和工具，如OWASP ZAP和测试指南。开发指南将向您的项目展示如何架构和构建安全的应用程序，代码审查指南将告诉您如何验证应用程序源代码的安全性，测试指南将向您展示如何验证正在运行的应用程序（OWASP）的安全性。4.0测试指南，2014年）。与此同时，所有的OWASP工具，文档都对任何有兴趣开发安全应用程序的人开放。OWASP Top 10列表以及数千种其他已知的漏洞可以通过Web应用程序安全测试工具自动检测或由安全专家手动检测。根据该领域的SLR研究结论，最常见的风险是基于注射，然后是跨中心脚本和敏感数据暴露（Pariwish等人，2019年）。安全测试是一个测试应用程序安全功能的过程。安全功能与机密性、完整性、可用性、身份验证、授权和不可否认性有关（Web应用程序安全测试，2021）。安全测试的目的是发现应用程序中的潜在安全性，并确保应用程序功能免受外部或内部威胁。软件安全测试可以分为安全功能测试和安全漏洞测试。安全功能测试是根据安全需求规范来确定软件安全功能是否正确实现并与安全需求相一致。安全漏洞测试是为了发现攻击者的安全漏洞（Bhargav和Kumar，2010）。Web安全测试是测试业务逻辑、输入验证、输出编码、身份验证和授权问题，以避免常见的漏洞，如SQL注入、跨站脚本（XSS）等。安全测试可以通过安全专家的人工测试和Web应用程序安全测试工具的自动化测试相结合的方式进行，两者相辅相成。为了手动执行Web应用程序的安全测试，安全专家应该对HTTP协议和OWASP Top 10漏洞以及其他已知漏洞有很好的了解安全专家收集有关应用程序的信息，测试和报告安全漏洞，特别是其中一些无法通过自动安全测试工具发现，直到应用程序的安全性进行评估。此外，手动安全测试是一个耗时的过程，需要自动化的安全测试工具。自动化安全测试工具在发现漏洞方面很有优势，它们模拟了安全专家的操作黑盒和白盒测试主要用于安全测试工具开发，以发现Web应用程序中的大多数漏洞和安全缺陷。在黑盒测试中，测试用例被赋予软件，并检查结果以预测漏洞或错误，而白盒测试则被执行以检查错误或易受攻击的代码（Shirey，2007）。 黑盒测试也被称为动态分析安全测试（DAST）。DAST工具帮助开发人员和安全专家找到并修复大多数漏洞和安全缺陷，web应用程序同样，白盒测试也被称为统计分析安全测试（SAST），因为它可以访问内部代码，并帮助开发人员编写安全的源代码。SAST工具扫描静态代码并减少漏洞数量。DAST和SAST工具都可以适应开发过程。Web应用程序安全测试工具的一个重要部分是，它们是已知的容易出错和报告误报。误报和漏报问题是自动化Web应用程序安全测试工具的常见问题。如果Web应用程序安全工具报告了漏洞，但实际上它并不存在，则称为误报。如果Web应用程序安全测试工具遗漏了现有漏洞，则此行为称为假阴性。因此，Web应用程序安全测试工具应该具有较低的误报和漏报值。2.2. 相关工作：该领域的其他审查文件专注于Web应用程序安全测试，我们能够找到三篇综述论文（次要）（Bhargav和Kumar，2010;Mohanty等人，2019; Seng等人，2018），我们将这些论文列在表1中。对每篇论文提取其类型、发表年份、综述论文数和关注领域。从发布年份来看，单反相机似乎最近开始出现在Web应用程序安全测试中。正如我们在表1中所看到的，这三篇论文都关注Web应用程序安全测试，但每篇论文都从不同的角度研究Web应用程序在我们的研究中，除了这些SLR之外，我们的目标是通过审查漏洞，Web应用程序安全测试工具及其技术，Web应用程序及其技术来确定Web应用程序安全测试的需求并填补空白。因此，我们的研究是该领域最新和最全面的综述，考虑了2005年至2020年期间发表的所有80篇论文。3. 研究方法我们使用软件工程中众所周知的SLR和SLM指导方针进行了这项研究（B。Kitchenham，2007; Kai等人，M. 艾多斯Aldan，E. C o，skun等人沙特国王大学学报6778表1Web应用程序安全测试的相关综述论文列表。论文题目年Num.审查的文件参考重点领域自动化Web应用安全性201930（Bhargav和Web应用程序漏洞安全测试漏洞测试Kumar，2010年）基于威胁的Web应用程序安全测试20198（Mohanty等人，不同的现有威胁建模技术，建模：系统评价2019年度）用于安全测试Web应用程序安全性201890（Seng等人， 2018年）Web应用程序安全扫描器的质量扫描仪质量：综述2008; Petersen等人，2015; Wohlin，2014）。经过验证的可持续土地管理进程（Garousi等人，2018年，2020年）是这个SLM的基础，在图1中列出，其中包括三个阶段：来源选择，分类方案/地图，系统的文献映射。我们将在以下章节中讨论这些阶段。3.1. 目标和研究问题本研究的目的是对Web应用程序安全测试领域的知识进行分类、回顾和分析，以找出其发展趋势和方向。此外，我们的目标是为研究人员和从业人员检测未来研究的机会。我们为我们的系统地图绘制了一个研究范围和边界，以确保明确的重点。我们决定只包括关于Web应用程序安全测试的期刊或会议论文，并排除所有远程相关论文，例如，Web服务的安全性。基于我们关注的目标，我们讨论了以下研究问题RQ，分为四类：Group 主要是什么Web应用程序安全测试研究在技术/方法、工具、流程和测量方面的贡献？RQ1.2-研究方面的类型：Web应用程序安全测试研究论文中使用了哪些类型的研究方法？（解决方案建议，弱实证研究，强实证研究，经验论文，哲学论文，意见论文，其他）第2组RQ2.1-使用的Web安全测试工具：哪些测试工具用于安全测试？我们按年份检查了工具使用的普及程度和频率。RQ2.2-许可证类型：测试工具的许可证类型是什么？工具许可有很多种选择，本文主要介绍学术界和工业界研究人员使用的工具RQ2.3-分析技术：安全测试使用静态分析还是动态Web应用程序安全测试主要关注两种类型的分析技术。因此，我们讨论了这些类型为静态分析-SAST（静态应用程序安全测试），动态分析-DAST（动态应用程序安全测试）和其他，我们列出了这些数据。Fig. 1. 我们的可持续土地管理进程概览。M. 艾多斯Aldan，E. C o，skun等人沙特国王大学学报6779RQ2.4-自动化水平：测试的自动化水平是什么我们专注于多年来改变自动化水平。我们想展示技术进步对自动化水平的影响。RQ2.5-准确性重点：是否解决了Web安全应用程序中的误报和漏报问题？第3RQ3.1-漏洞类型：根据OWASP Top 10和其他漏洞，测试和/或检测到了哪些类型的漏洞？我们检查了这些年来解决的漏洞是否在这些年中OWASP前10名。RQ3.2-违规类型：遇到的违规类型是什么？有哪些类型的违规行为，哪些被纳入研究？RQ3.3-SDLC重点：论文是否考虑软件开发生命周期？第4RQ4.1-Web应用程序类型：测试的Web应用程序类型是什么？对于Web应用程序的安全测试，有不同类型的Web应用程序，因此我们主要集中在五种类型的Web应用程序作为定制的Web应用程序，教育脆弱的Web应用程序，Web应用程序安全扫描器测试站点，开源测试应用程序框架，真实世界的Web应用程序和列表的学术，工业和合作的数字。RQ4.2-SUT编号和名称：SUT的名称是什么？包括多少个SUT？RQ4.3-SUT的开发语言：哪些语言用于开发SUT对象？RQ4.4-连接类型：SUT使用哪些连接类型？3.2. 源选择和搜索查询定义我们选择了电子数据库的搜索过程中使用的过程进行SLR研究的Web应用程序的安全谷歌学术和Scopus（www.scopus.com）被广泛用于综述研究（B. Kitchenham，2007），并用于搜索。单独使用googlescholar进行系统性综述的覆盖率要高得多，但它需要在高级搜索中进行一 些 改 进 ， “ 它 不 应 该 单 独 用 于 系 统 性 文 献 综 述 ” 。搜 索 ”（Haddaway等人，2015年）。因此，除了Google Scholar之外，还使用Scopus来查找一些缺失的论文。我们开发了我们的搜索字符串，并使用基于标题的电子数据库搜索。当我们使用“Security AND（test OR testing）AND Web）时，我们的搜索结果返回了相关的结果以及不相关的结果。为了确保最大限度地纳入所有相关研究，我们通过添加“Web应用程序或Web”术语来使用搜索字符串。Google Scholar的最终搜索字符串是：此外，我们在Scopus中使用了相同的搜索字符串，它返回了3篇不同的候选论文。Scopus搜索字符串为于二零二零年十二月、二零二一年一月及二月，我们进行检索阶段，并纳入截至二零二零年底发表的论文。在同一时期进行了基于入选标准的数据提取。在我们的论文检索和选择过程中，我们首先应用基于标题的选择，然后删除重复论文，并通过考虑纳入/排除标准排除报告、书籍章节、专利论文等文献（第3.3）。因此，我们平衡了论文的精确性、严谨性和效率。图2显示了我们使用Google Scholar搜索过程的屏幕截图绿色标记纸为相关候选纸，红色标记纸为不相关候选纸。我们通过增加潜在的相关论文来准备我们的论文库当使用Google Scholar进行检索时，我们不得不限制检索结果，因为Google Scholar为上述关键字提供了超过150万份文档。很难通过所有的结果。根据我们的观察，当我们从第一页开始检查所有结果时，结果的相关性在接下来的页面中下降。限制搜索结果是个好消息。因此，我们检查了前n页，如果有必要，我们此外，我们使用Google Scholar的在我们最初的搜索和标题过滤结束时，我们的初始池由148篇论文组成。 为了尽可能多地纳入所有相关论文，我们使用系统综述指南（Wohlin，2014）和已证实的系统综述（Garousi etal.，2018，2020; Garousi等人，2019年b）。由于这一点，我们增加了6篇文章。在汇编了154篇“候选”文章的初始汇总后3.3. 排除和入选标准我们确定了纳入和排除标准，以规定所有相关论文均纳入，不包括超出覆盖范围入选标准为：1. 这篇论文在互联网上是否完全可以访问2. 论文是用英语写的吗？3. 源代码是否专注于Web应用程序的安全测试？4. 来源是否包含相对可靠的验证？这些问题的答案有两种。 “是”表示值= 1，“否”表示值= 0。每项标准均为1的论文被纳入，其他论文未被纳入。因此，根据上述标准排除了74篇论文，并在在线电子表格上进行了评价（Aydos等人，2021年），并在附录中列出。例如，Kyong-Ho和Lee（Kyong-Ho Lee，2015）题为“通过外包增强Web应用程序测试的安全性测量”的论文&3.4. 最后文件汇编和在线资料库最终确定了80份文件。最终80篇论文的参考文献可以在在线资源库（bit.ly/3vnvS 5 M），并在附录中列出。在本系统映射论文中使用“[Si]”格式，以引用在线电子表格中列出的库中的源论文（见图1中的屏幕截图）。 3）。在图4中，为了直观地看到Web应用程序安全测试领域的增长，描述了论文的出版年份，并将该趋势与其他四项综述研究的数据进行了比较，例如，对用于软件缺陷预测的无监督学习技术的系统综述（Li等人， 2020），对软件工程中时间压力的系统综述（Kuutila等人，2020），一项关于软件可测试性的调查（Garousi等人，2019a），以及SLR关于软件可维护性预测的机器学习技术（Hadeel Roper，2020）。请注意，其他四个领域的数据直到2018年才公布，因为这些研究的执行和认证时间表是在2019年和2020年。M. 艾多斯Aldan，E. C o，skun等人沙特国王大学学报6780图二.我们使用Google Scholar搜索活动的屏幕截图。图三. 源文件在线电子表格的屏幕截图（bit.ly/3vnvS5M）。M. 艾多斯Aldan，E. C o，skun等人沙特国王大学学报6781图四、Web应用程序安全测试的增长，以及与其他四项审查研究数据的比较3.5. 分类方案为了回答所有的RQ，开发了一个系统地图。随后，数据从源中提取，以便对其进行分类。本节将分析系统地图的进展情况。对所收录的文献进行分析，并对初始属性进行定义，以建立系统地图。 为了获得最终的地图，在需要的情况下，应用属性生成和迭代细化，这在图中说明。1.一、在定义了相关的工作之后，他们被编入一个共享的电子表格中，以便进行下一次分析。以下的目的是对论文进行分类，以便在研究领域中产生全面的影响，并回应RQ。通过迭代的方法，将广泛的兴趣转化为系统的地图。表2中列出了使用上述步骤创建的最终分类方案。本表第2列显示RQ，第3列显示属性/方面。类别/指标见第4栏。 第5栏说明了每个属性的多重选择情况。例如，RQ 1.2（研究类型）的最后一列的值是'S'（单一）。这表明，一项研究只能按单一研究类型分类。另一方面，RQ 1.1的最后一列的值（贡献类型）是'M'（多重）。这表明一个贡献类型可以有多个备选项（例如，方法、工具等）。表3中的贡献类型和研究类型的 分 类 是 在 众 所 周 知 的 SLR 和 SLM 指 南 的 帮 助 下 完 成 的 （ B 。Kitchenham，2007; Kai等人，2008; Petersen等人，2015; Wohlin，2014）。贡献和研究类型的类别主要在Peterson et al.的指导方针文件（Petersen等人， 2015年）。方法（方法、技术）、工具、模型、框架、过程、仅经验结果（如果选择了“经验结果”，则不能选择其他选项）、“其他”可以是贡献类型。一项研究可以提供一种以上的贡献类型。比如说，研究可以提供一种新的方法和一种使这种方法自动化的工具。“解决方案建议”是从（Petersen et al.，2015年）。通过一个简单的例子或一个很好的论证线来说明解决方案实验分析分为两类：弱实证研究（验证研究）和强实证研究（评估研究）。第一种类型的研究不包括任何假设、研究问题，也不应用任何统计检验。如果研究包括第一个中提到的这些特征，那么它被定义为“强”。Peterson et al.的指导方针文件（Kai等人， 2008）包括经验论文，哲学论文和意见论文方面的研究的描述。对于Web应用程序安全测试所使用的漏洞类型（RQ 3.1），我们将Web应用程序安全测试研究中经常实现的漏洞类型分为OWASP Top 10和Others。此外，我们将Web应用程序类型分为定制Web应用程序、教育脆弱Web应用程序、Web应用程序安全扫描器测试站点、开源测试应用程序框架、真实Web应用程序，这种分组是我们在论文中讨论的应用程序的方法。本文提出的Web应用程序安全测试的分析技术分为静态分析-SAST：如果有静态分析工具使用或手动分析源代码，动态分析- D A S T ： 如果 有 动 态 分 析 工 具 或 测 试 人 员 使 用 D A S T 技 术 测 试 的 W e b应 用 程 序 ， 其 他 ： S A S T 和 D A S T 的 所 有 方 法 之 外 。如前所述，为了获得表2所述系统图中每个属性的类别，使用了属性概括和迭代细化，并在研究中指出了分类。在几项研究中看到的每一个分类都被确定为共同组中的一个新分类，另一方面，它们被放在一个定义为“共同”的相关类别中M. 艾多斯Aldan，E. C o，skun等人沙特国王大学学报6782表2系统图。组RQ属性/方面类别/指标多个/单个第1组：所有系统性文献映射研究1.11.2贡献型研究型方法/技术/方法，工具，模型，度量，过程，实证研究（仅），其他解决方案建议，弱实证研究，强实证研究，经验论文，多单个第2组：特定于Web2.1Web安全哲学论文，意见论文，其他Paros，WebScarab，Fortify，JBroFuzz，Acunetix，Netsparker，BurpSuite，ATUSA，OWASP ZAP，多安全测试工具2.2测试工具许可证类型WebFuzz，WAVES，SQLMap，其他商业，商业免费，学术界，开源多2.32.4分析技术自动化静态分析手动、半自动、自动多多第3组：特定于3.1水平脆弱性注入，破坏身份验证，敏感数据暴露，XML外部实体（XXE），多安全测试类型访问控制中断、安全配置错误、跨站点脚本、不安全私有化、使用具有已知漏洞的组件、日志记录不足以及3.2违规类型监测，其他其他单个3.33.4精确调焦SDLC聚焦集中不集中集中不集中单个单个第4组：特定于被测系统（SUT）4.1Web应用程序类型定制Web应用程序，教育脆弱的Web应用程序，Web应用程序安全扫描测试站点，开源测试应用程序框架，真实世界的Web应用多4.24.3SUT编号和名称发展中其他.NET，PHP，Java，JavaScript，ActiveX，Python，其他多多4.4SUT语言连接HTTP/HTTPS多类型3.6. 数据提取和审查当系统图（分类方案）存在时，我们研究团队的每个成员从分配给他或她的研究子组中提取数据。提供可追溯性链接，并将其附加到提取的数据到研究中的相关信息，以提供每个分类过程的理由。图5显示了我们的在线电子表格的照片，该电子表格用于促进集体努力，并通过上述可识别的联系对研究进行分类。这张照片显示了RQ 1.1（贡献类型）的信息。在这方面，我们研究团队的一名成员将文章中的确切文本定位为数据提取质量保证和同行评审的可识别链接。在完成所有数据提取后，我们通过系统的同行评审对每个成员的评估和提取结论进行同行评审。当发生争议时，进行协商以获得同意。此操作是为了提供高性能的提取表3与分析技术相关的工具。SAST DAST数据和结论。这些评论操作可以从在线存储库中的评论历史按钮中看到。4. 结果4.1. 第1组：所有系统性文献映射研究4.1.1. RQ 1.1：按贡献方面分列的论文类型图第6条表明了研究的贡献面分类。该领域的大多数研究都提供了方法/途径，除了少数不同的贡献类型（即模型或过程）。请注意，在系统图的结构中提到了这一点（第3.5节&表2），因为每个研究可能有不同的贡献方面，一项研究可以在图中指定一个以上的类别。六、方法、手段和技巧被归为一类，因为它们有着相似的概念。在80项研究中，有49项研究为Web应用程序提供了安全测试方法/技术 如图所示。 6，这个集合是贡献面池中最大的类型。在汇总的80项研究中，有12项（15%）提供了工具，使所提出的方法更容易实施。Web应用程序安全测试工具的不同观点将在第4.2中详细介绍。汇总中80项研究中的8项（10%），[S1、S11、S21、S22、S46、S73、SonarCube，PMD，RIPS，Volcano，Sparrow，Fortify，IMATT，CPPcheck，Pixy，JWAST，FindBugsParos，WebScarab，JBroFuzz，Acunetix，HTTPUnit，TamperData，IMATT，BioFuzz，Ardilla，JWAST，WAVES，Teleport，WebSphinx，Larbin，Web Glimpse，Harvest，AppScan，ScanDo，WebInspect，AutoInspect，WebFuzz，XSSAnalyzer，OWASP ZAP，SQLMap，XSS测试驱动程序，Vega，Arachni，XSSER，Commix，Netsparker，Nikto，Skipfish，Wapiti，WebSpider，Nessus，BurpSuite，Sparta，NmapS76，S79]，仅为经验结果首先，[S1]举例说明了在Tunestore上进行安全测试的案例研究，使用Paros，WebScarab，JBroFuzz，Acunnetix和Fortify等工具进行了测试。[S11]重点研究了变异测试对提高Web应用程序安全性测试质量的实证评估。[S21]提出了一份调查问卷，审查了斯里兰卡中小企业的Web应用程序安全测试的好处。[S22]演示了在印度的软件公司的Web应用程序的安全测试的挑战问题。[S46]是一个案例研究，最近推出的组合测试方法，M. 艾多斯Aldan，E. C o，skun等人沙特国王大学学报6783图五. - 在线电子表格（bit.ly/3vnvS5M）的屏幕截图。见图6。 按贡献类型对论文进行分类。Web应用程序安全。[S73]摘要介绍了对十大流行免费电子邮件的安全级别[S76]使用开放源码软件来确定、实施和测试对用户很重要的网络应用程序的非功能要求。最后，[S79]揭示了在高等教育机构进行适当培训以进行行业Web应用安全测试的重要性日益增加因此，为了提供高等教育机构可能使用的有意义的数据，向软件质量分析师专业人员分发了一份12个问题的9篇论文（11.25%），[S6，S8，S31，S48，S50，S51，S67，S68，S77]，提供了支持Web应用安全测试的模型[S6]提出了[S8]提出了一种改进的描述模型Web关系图。[S31]通过组合测试改进基于模型的测试[S48]提出了Web应用程序的本体驱动的安全测试这模型表示作为第一步的攻击本体在测试生成过程中。P[S50]专注于对具有攻击语法的Web应用程序进行基于计划的安全测试。该模型提高了高度的可扩展性和可配置性，并处理了传统图形表示的局限性。[S51]提出了规划领域定义语言（PDDL）的模型。所提出的模型作为一个输入的规划。[S67]提出了一种软件安全测试模型。它扩展了传统的安全测试过程，以进行缺陷行为分析。[S68]提出了一种改进的基于模糊技术的Web控件脆弱性测试模型。同样，[s77]提出了一个在金融机构网站上运行项目的模型。汇总的80项研究中有7项（8.75%）[S6、S8、S16、S32、S43、S59、S77]提供了改进Web应用程序安全性测试的框架。[S6]描述了一个用于Web应用程序安全评估的黑盒测试框架。[S8]提出了一项新的安全测试-M. 艾多斯Aldan，E. C o，skun等人沙特国王大学学报6784基于可扩展性相关路径的框架。[S16]专注于测试和检测Web应用程序中SQL注入漏洞的框架。[S32]提出了一个基于Web的应用程序的整体安全测试框架。[S43]介绍了一个正式的和灵活的基于模型的安全测试框架。[S59]提出了一种集成安全测试过程的框架，使没有经验的软件测试人员能够产生更好的报告。最后，[S77]侧重于脆弱性评估和渗透测试。汇总中3篇论文（3.75%）[S23，S39，S57]的贡献与工艺相关。[S23]提出了利用测试用例的可重用性来提高安全测试效率的持续安全测试流程。[S39]重点是威胁评估，这是一个受控的过程，在一组评估伪装的风险。[S57]提出了一个指南，可以使用的软件分析师通过安全需求细化的过程8篇论文（10%），[S3，S5，S6，S15，S25，S58，S69，S71]，呈现例如，[S15]提供了已知类型的Web应用程序漏洞的分类。在[S3，S5]中提出了不同的Web应用程序安全模式。[S58]提出了一种称为4.1.2. RQ 1.2：按研究领域划分的论文类型按研究方面划分的研究分布的累积趋势如图所示。7.第一次会议。弱实证研究（验证研究），尚未在实践中实施，但在实验室环境，在游泳池中占有最大的份额，为63.7%（80人中的49人）。在80项研究中，有16项是解决方案建议，这些建议通过一个小例子来说明解决方案的适用性，而没有详细的实证研究。池中的15篇论文是强有力的实证研究。提供了一些“强有力”的实证研究的例子，因为这些来源是最关注的。被称为RQ 1：“BIOFUZZ在检测和利用SQLI漏洞方面是否有效？”RQ2：[S40]介绍了一种新的基于知识的安全测试方法--逻辑编程法，以及基于模型的Web应用程序非功能性安全测试工具的实现，并进行了包括严格度量在内的全面的实证研究被称为RQ1：见图7。 网络应用安全研究的累积趋势。●●●M. 艾多斯Aldan，E. C o，skun等人沙特国王大学学报6785RQ2：“测试专家需要被指导多少次？”RQ3：4.2. 第2组：特定于Web安全测试工具4.2.1. RQ 2.1：使用的工具的流行程度如图8所示。我们将研究中常用和常见的分类为单独的标题，其他分类为单独的标题。在数据提取之后，我们检查了测试工具使用的流行程度。80篇文章中有48篇提到了Burp Suite [S2，S14，S39，S43，S45，S46，S61]，OWASP ZAP [S15，S43，S46，S59，S69，S76，S77]，Acunetix [S1，S33，S52，S60]，Paros [S1，S37，S43] ， Vega [S15 ， S52 ， S76] ， Volcano [S25 ， S37 ， S58] ，WebScarab [S1 ， S10 ， S24] ， Appscan [S20 ， S41] ， ARDILLA[S55 ， S78] ， Fortify [S1 ， S19] ， JBroFuzz [S1 ， S33] ， Nikto[S15，S69]、Pixy [S62，S63]、PMD [S60，S75]、RIPS [S59，S75]、SQLMap [S55，S74]和主标题。在其他标题下，有7个无名工具和44个不同的工具，它们可以被列为Apache[S14]，Apache Cactus [S65]，Arachni [S43]，AutoInspect [S20]，Ben [S2] ， BIOFUZZ [S55] ， Commix [S59] ， FindBugs [S75] ，Google Crawler [S6] ， Harvest [S6] ， HTTPUnit [S9] ， IMATT[S12]，Junit [S65]，JWAST [S75]，Larbin [S6]，NESSUS[S77] ， Netcraft S69] ， Netsparker [S45] ， Nmap [S69] ， PoC.py[S45] ， SAFELI [S75] ， ScanDo [S20] ， SeaMonster [S60] ，Selenium frame-work [S47]，SideJacking [S73]，simTI-WS [S5]，Skipfsh [S15]，Sonar- cube [S59]，Sparrow [S33]，Sparta [S69]，TAMPER DATA [S24]，Teleport [S6]，Wapiti [S15]，WATIR [S65]，WAVES [S6]，WebSpider [S40] ， Webfuzz [S70] ， Web-Glimpse [S6] ， WebInspect[S20]，Web-Sphinx [S6]，WebTe