web安全测试流程如何设计?

时间:2022-02-16     来源:易思训教育 作者:易思训
分享: 更多

今天易思训(www.yisixun.com)小编要跟大家分享的文章是web安全测试流程如何设计

 

每一个web应用的安全测试第一步就是立项,确定流程实施内容,包括如下:

客户提出测试需求:需求方、web应用名称、期望的目标等;

安排测试人员:安全测试人员安排,测试环境搭建;

测试计划制定:与需求方沟通测试计划安排,每一个流程阶段的时间计划,具体的测试内容;

测试实施:确定需求方接口人,后续问题沟通反馈&修改;

流程评审&结项:确定web应用测试完成后的评审方案,向客户交付测试输出文档;

 

web安全测试首先要进行的就是熟悉被测系统,将系统分解,分析系统使用的组件,使用何种web架构等等。

系统分析主要包括系统物理架构和逻辑架构的划分。

物理架构:按照系统使用的组件分析出来的架构,如底层使用何种数据库,控制层使用何种组件,表示层使用何种前端库等,组件之间使用那些通信协议等

分析系统使用的这些物理组件,有助于了解系统的特性,方便进行威胁分析和对应的用例编写。

不同的组件有对应的不同的威胁模式库,物理架构分析后就可以直接进行对应的映射即可得出被测系统的威胁库。

逻辑架构:按照系统的业务逻辑划分的,例如根据一个系统的组成业务模块就可得出其逻辑架构,分析逻辑架构有利于熟悉系统内部的数据流。

 

系统分析后需要进行的就是系统威胁分析,根据系统分析的结果,选择合适的威胁模型,分析系统面临的主要安全威胁。

 

威胁分析后就需要根据威胁分析的结果编写测试用例,针对分解的每一个二层数据流图,对每一个数据流图元素,映射对应的威胁,编写测试用例,用例必须按照模板输出,每一个用例具体内容包括:
用例名称:测试用例必须具有唯一可区分的名称

用例执行步骤:用例的详细执行步骤,每一步必须无歧义,具备可执行性;

用例使用的工具:用例执行过程中使用的工具;

用例的执行条件:用例执行必须具备的条件,如网络可达、服务必须运行等;

用例的输入和输出:用例执行过程中涉及的输入,以及对应的输出;

用例的安全属性:目前规定的安全属性包括管理通道安全、XSS、注入攻击、CSRF、身份认证、会话安全、敏感数据保护、越权、中间件安全、配置安全这10个维度;

用例执行优先级:用例执行的优先顺序,在用例数量很多的情况下,应按照优先级高低的顺序执行。

 

测试用例编写完就需要开始用例的执行,具体的测试包括自动化的工具执行以及手动测试。

 

测试执行完成后需要输出对应的测试报告,在报告中需要给出每个安全问题或漏洞的解决方案或建议。
如果可能,解决方案应当详细到源码级别。

 

修复测试中发现的安全问题,完成回归测试后,整个安全测试流程就基本结束,最后需要就整个测试过程进行总结评审,例如测试方案、测试用例是否完善,测试过程发现了多少安全问题,web应用的高风险模块,测试过程有哪些薄弱项等等。

 

以上就是小编今天为大家分享的web安全测试流程如何设计的文章,希望本篇文章能够对正在或想要学习安全测试的小伙伴们有所帮助,想要了解更多关于安全测试的教程,记得关注易思训教育IT培训官网(www.yisixun.com),希望同学们学习顺利。

 

IT培训选易思训教育培训机构,易思训IT培训课程是易思训品牌课程,易思训培训汇集IT培训讲师,IT就到易思训教育!了解详情请登陆易思训教育培训官网(www.yisixun.com)!


相关文章

今日优惠
免费试听教程