0
OWASP 상위 10 개 (A1-A10)에서 모든 기능을 자동화 할 수 있는지 궁금합니다. Selenium을 사용하여 테스트를 자동화 할 수 있습니까? 그렇다면 툴을 자동화하는 데 사용할 수 없습니까? 또한 어떤 문서 나 가이드 라인이나 따라하거나 참조 할 수있는 예가 있습니다.OWASP A1-A10 자동화 테스트
미리 감사드립니다.
A
답변
2
내가 말하고 싶지만 :
- 주입 :
- XSS 도구가 도움이되지만 수동 테스트가 정말 필요 : 자동화 꽤 효과가
- IDOR 자동화 이
- 인증/세션 MGMT 꽤 효과적입니다 : 도구가 도움이되지만 수동 테스트가 실제로 필요합니다.
- sec misconfig : ditto
- 데이터 노출 : 공정한 정도 b로 자동화 할 수 있습니다. Y 수동 검증 중요한
- 누락 AC : 요소는 자동화,하지만 데프 중요한 수동 개입을 필요로 할 수있다
- CSRF : 자동화가 효과적 일 수 있지만 확률값 정적 + 동적해야합니다 : 자동화 vulns와
- 컴포지션]를 꽤 효과적입니다 스캔
- Fwds 및 REDIR : 자동화 보안 취약점을 찾는 것은 어렵다
꽤 효과가 자동화는 시간을 줄이려고 노력을 교체하지 않고 수동 테스트를 수행하는 데 소비하는 방법으로 볼 수 있습니다. 자동화 된 테스트의 장점 중 하나는 끝까지 기다리지 않고 펜 테스터를 들여 오는 것이 아니라 언제든지 (예 : CI/CD의 일부로) 할 수 있다는 것입니다.
모든 경우에 대해 자동화를 사용하여 발견 된 잠재적 인 취약점이 중요합니다.
https://www.owasp.org/index.php/ZAPpingTheTop10을 살펴보고 ZAP에 중점을 둡니다. 자동화는 확실히 ZAP (그리고 우리가 Mozilla에서 사용하는 주요 방법 중 하나)에 중점을두고 있으며, 놀랍지 않게 사용을 권장합니다 (저는 ZAP 프로젝트 리드입니다)
2
자동화 된 도구.
보안에 대한 충분한 경험이 없거나 자동화에 대한 충분한 경험이없는 경우 요청하십시오.
보안에 대해 알아야 할 것도 있고 효과적인 자동 시나리오를 작성하는 것도 있습니다. 회귀로 인한 특정 시나리오를 자동화하는 것이 가능합니다.
보안을 위해 기존 도구를 사용하여 취약점 + 수동 테스트 및 분석을 검색하십시오.
결론 : 예, @psiinon은 자동화 할 수 있고 자동화 된 스캔을하는 것이 더 좋지만 수동으로 구현하는 측면에서 볼 때 수동으로 수행하는 것이 효율적인 방법으로 많은 노력을 필요로합니다. 좋은 범위.
자동화하려는 것을 완전히 이해하고, 계획을 세우고, 더 자세히 조사하여 옵션이 무엇인지 확인하십시오. 사용 된 프로그래밍 언어에 따라 사용할 관련 보안 라이브러리가 있는지 확인하십시오.