本篇安全测试知识点是根据《安全测试指南》记录，仅供参考（JSYK）。其主要目的是为了自己所学而记录的笔记。

3.1 Web应用安全测试概述

? ? 1）什么是Web应用安全测试？

? ? ? ? 是一种通过系统地确认和验证应用程序安全控制的有效性，来评预计算机系统或者网络安全的方法。? ? ? ? ? ? ? ??

只侧重对web应用安全测试的评估。这个过程包括对应用程序的所有弱点、技术缺陷、漏洞。如发现的评估、建议以及技术方案都提交给系统所有者。

? ? 2）什么是漏洞？

? ? ? ? 漏洞就是系统设计、实现、经营或者管理中的缺陷或者 弱点，可以被用来破坏系统的安全目标。

? ? 3）什么是威胁？

? ? ? ? 威胁是任何（恶意的外部攻击者、内部客户、系统不稳固等）通过利用漏洞来危害应用所拥有资产（有价值的资源，例如数据库或者文件系统中的数据）的因素

? ? 4）什么是测试？

? ? ? ? 测试是一种证实应用满足利益相关者的安全要求的行为。

? ? 5）策略

? ? ? ? OWASP是开放的，和协作的方式。

? ? ? ? 该策略易于形成明确的测试方法。具备一致性、可重现性、严谨性、质量可控性。

3.2 什么是OWASP测试方法

1）测试模型包括

? ? 测试人员：执行测试活动的人

? ? 工具和方法：本测试指南项目的核心

? ? 应用：黑盒测试对象

2）测试分为两个阶段

安全测试素来不是一门严密的科学，可以definition一个所有待测试问题的完整列表。

Actually,安全测试只是一种特定情况下测试web应用程序安全性的正当技术。这个项目的目的就是收集所有可能的测试技术，并加说明、升级。OWASP web应用安全测试基于黑盒测试方法，测试人员对被测试应用一无所知或者只获取一些信息。

? ? 阶段1：被动模式

? ? 被动模式中，测试人员试图了解应用的逻辑并灵活使用应用。测试人员可以使用工具来收集信息。例如，使用HTTP代理商来观察所有的HTTP request and reply。 在此阶段结束时，测试人员应该清楚应用程序的所有接入点，信息的参数、cookies、HTTP标题。

? ? 发现如下链接：https://www.example.com/login/Authentic_Form.html

? ? ? ? ? ? ? ?http://www.example.com/Appx.jsp?a=1&b=1

? ? 阶段2：主动模式

? ? 1信息收集测试

? ? 2配置和部署管理测试

? ? 3身份管理测试

? ? 4认证测试

? ? 5受权测试

? ? 6会话管理测试

? ? 7输入验证测试

? ? 8错误解决测试

? ? 9加密体系脆弱性测试

? ? 10业务逻辑测试

? ? 11用户端测试

关于web安全的知识

https://blog.csdn.net/jien1109/article/details/37879577web安全测试的类型?RainbowGu