0
すべてが自動化できるOWASPトップ10(A1-A10)が不思議です。 Seleniumを使用してテストを自動化することは可能ですか?そうでない場合は、どのツールを使用して自動化することができますか?また、いかなる文書またはガイドライン、または従うことができるか、または参照できる例があります。OWASP A1-A10の自動テスト
ありがとうございます。
A
答えて
2
私が言うと思います:
- 注入:
- XSSツールは助けるが、手動テストが本当に必要とされている:自動化はかなり効果的である
- IDOR自動化が が
- 認証/セッションMGMT かなり効果的です:ツールは助けますが、手動テストが本当に必要です
- 秒misconfig:ditto
- データエクスポージャー:公平な程度に自動化することができますb yのマニュアルの検証が重要
- 欠落AC:要素が自動化されますが、defの重要なマニュアル関与を必要とすることができます
- CSRF:自動化が効果的であることができますが、PROB静的+動的な必要があります:自動化がvulnsと
- コンプをかなり効果的ですスキャン
- FwdsとREDIRは:自動化はかなり効果的である
セキュリティの脆弱性を見つけるのは難しいです、時間と労力を削減する方法ではなく、それを交換するよりも、手動テストをやって過ごしたとして、自動化が見られるべきです。 自動テストの利点の1つは、終わり近くまで待ってからペンテスターを入れるのではなく、いつでも(CI/CDの一部として)行うことができるということです。
いずれの場合も、自動化を使用して検出される潜在的な脆弱性が重要です
https://www.owasp.org/index.php/ZAPpingTheTop10をご覧ください。これは、ZAPに焦点を当てています。 オートメーションはZAP(そしてMozillaで使用する主要な方法の1つ)であり、驚くことではありません(私はZAPプロジェクトのリードです)
2
これを自動化するツールです。
セキュリティに関する十分な経験がないか、またはオートメーションに十分な経験がないことを求めている場合は、
セキュリティを知ることと、効果的な自動化されたシナリオを書くことの両方があります。 あなたができることは、回帰として得られたいくつかの特定のシナリオを自動化することです。
セキュリティ上の理由から、既存のツールを使用して脆弱性+手動テストと分析をスキャンしてください。
結論として、@ psiinonによれば、自動化することができ、自動化されたスキャンが得策ですが、手動で実装するという点では、効率的にこれを行うには多くの努力が必要です良いカバレッジ。
自動化しようとしていることを完全に理解していることを確認し、計画を立て、さらに調査してオプションが何かを確認してください。 また、使用するプログラミング言語に基づいて使用する関連セキュリティライブラリがあるかどうかを確認してください。
関連する問題
- 1. python-owasp-zap-v2.4パッケージを使用してPythonのOWASP侵入テストを自動化
- 2. ロボットファイル自動テスト
- 3. JavaScript自動テスト
- 4. InDesign自動テスト
- 5. Windevの自動テスト
- 6. セグの自動テスト
- 7. 自動テストのDocker
- 8. WordPressの自動テスト
- 9. DialogFlowの自動テスト
- 10. Tableauの自動テスト
- 11. コードの自動テスト
- 12. E2Eブラウザ自動テスト
- 13. .Netテスト自動化
- 14. Webkit自動Webテスト
- 15. は、自動テスト4.4.6
- 16. iOSのオーディオの自動テスト
- 17. フラッシュゲームのテスト自動化ツール
- 18. MPSアプリケーションの自動テスト
- 19. IEツールバーの自動テスト?
- 20. Tableauレポートの自動テスト
- 21. Tizen TV:UIテストの自動化
- 22. WinFormsとWPFの自動テスト
- 23. EPiServerでの自動UIテスト
- 24. RESTfulなテストの自動化
- 25. JenkinsのVeriFIXテスト自動化
- 26. バックグラウンドサービスの自動テストAndroid
- 27. クロムブルートゥースapiの自動テスト
- 28. クラシックASPの自動テスト
- 29. Unityエンジンの自動テスト
- 30. AEMワークフローの自動テスト