我想知道 OWASP 前 10 名 (A1-A10) 中哪些都可以自动化。是否可以使用 Selenium 自动化他们的测试,如果不能,可以使用哪个工具来自动化它们?还有可以遵循或参考的任何文件或指南或任何示例。
提前致谢。
问问题
515 次
2 回答
2
有很多工具可以自动执行此操作。
如果您问这个问题,您要么没有足够的安全经验,要么没有足够的自动化经验。
了解安全性是一回事,编写一些有效的自动化场景是另一回事。你可以做的是自动化一些作为回归的特定场景。
出于安全目的,请使用现有工具扫描漏洞+手动测试和分析。
结论:是的,正如@psiinon 所说,您可以自动化,并且最好进行自动扫描,但是在手动实施方面,需要付出很多努力才能以有效的方式和良好的覆盖范围来做到这一点。
确保您完全了解您想要自动化的内容,制定计划并进一步调查以了解哪些选项。还要根据使用的编程语言检查您是否有任何相关的安全库可供使用。
于 2017-02-02T20:17:24.190 回答
2
我会说:
- 注入:自动化非常有效
- Auth / Session mgmt:工具有帮助,但确实需要手动测试
- XSS:自动化非常有效
- IDOR:工具有帮助,但确实需要手动测试
- 秒配置错误:同上
- 数据公开:可以通过手动验证实现相当程度的自动化 重要
- 缺少 AC:元素可以自动化,但 def 需要大量人工参与
- CSRF:自动化非常有效
- 与 vulns 比较:自动化可能很有效,但您需要概率静态 + 动态扫描
- Fwds 和 redir:自动化非常有效
发现安全漏洞很困难,自动化应该被视为一种减少手动测试而不是替换它的时间和精力的方法。自动化测试的优点之一是您可以随时进行(例如,作为 CI/CD 的一部分),而不是等到接近尾声才让渗透测试人员参与进来。
在所有情况下,手动验证使用自动化发现的任何潜在漏洞都很重要。
查看专注于ZAP的https://www.owasp.org/index.php/ZAPpingTheTop10。自动化绝对是 ZAP 的重点(也是我们在 Mozilla 中使用它的关键方式之一),毫不奇怪,我推荐使用它(我是 ZAP 项目负责人;)
于 2017-02-02T09:32:08.963 回答