IPD流程中的Web安全测试
最近整理渗透测试的标准,需要梳理归纳出一个渗透测试的标准流程,参考了很多相关的书籍资料。 (1)IPD常见的流程,(Integrated Product Development)是一套产品开发的模式、理念与方法。熟练应用在互联网企业中。 TR1——概念阶段技术评审点:产品需求和概念技术评审(业务需求评审)。 TR2——计划阶段技术评审点1:需求分解和需求规格评审(功能需求评审,产品级规格)。 TR3——计划阶段技术评审点2:总体方案评审(系统设计, 架构设计 , 概要设计 )。 TR4——开发阶段技术评审点1:模块/系统评审(详细设计,BBFV测试结果)。 在产品发布之前,安全测试是TR4版本之后,对Web进行安全测试, 我们使用自动化工具进行的渗透测试(前期的自动化渗透测试),单纯的拿到的是部分常见的的漏洞,比方你发现的跨站脚本,上传漏洞,SQL注入等。这些漏洞并不是针对用户端的代码层的漏洞或者逻辑层的漏洞,对于一些业务逻辑上的漏洞的安全性危害是最大的。常见的这些漏洞会是攻击者进一步获取系统信息升级权限,从而造成对业务逻辑和应用上的攻击。这样就危害大了。 我们常规的安全问题反映在应用上和服务上,应用上主要是移动端,手机,笔记本,台式机等的,服务上主要是服务器。 (2)WEb应用的扫描测试 (使用的工具 APPScan , Burp Suite , Nmap,WEbInset