誰でもセキュリティまたは侵入テストのカバレッジを理解する方法を知っていますか?セキュリティまたは侵入テストのカバレッジを知る方法
私は機能テストのカバレッジ測定のための伝統的な方法は、セキュリティテストにはあまり役に立ちません。セキュリティテストのために、実際には、すべてのロジックブランチをカバーする必要はありません。 URLとパラメータ全体をカバーすると、基本的にすべてがカバーされます。
ありがとうございました。
誰でもセキュリティまたは侵入テストのカバレッジを理解する方法を知っていますか?セキュリティまたは侵入テストのカバレッジを知る方法
私は機能テストのカバレッジ測定のための伝統的な方法は、セキュリティテストにはあまり役に立ちません。セキュリティテストのために、実際には、すべてのロジックブランチをカバーする必要はありません。 URLとパラメータ全体をカバーすると、基本的にすべてがカバーされます。
ありがとうございました。
ウェブアプリケーションセキュリティ評価の対象範囲の1つとして、テスト対象の範囲があります。最低限、OWASPトップ10の問題をテストする必要がありますが、高品質の評価ではビジネスロジックとアプリケーション固有の問題を適切に評価します。また、テスターは、ウェブアプリケーションで使用される特定の技術(たとえば、Adobe Flash、Google Gears)を理解している必要があります。
侵入テストは専門的な活動ですので、信頼できる尊敬を受けた企業にテストを実行させてください。英国では、CHECKスキームが高く評価されており、認定企業の一覧はこちらからご覧いただけます。http://www.crest-approved.org/member_companies.php
完全開示:私は、侵入テストサービスを提供するVerizon Businessの仕事をしています。
haha。 OK。 urアドバイスありがとう。 IC。 – willpowerforever
OWASPトップ10は始めるには良い方法だと約束しました。トムが示唆したように、ペンテスターが仕事を適切に行うことを信頼しなければなりません。ツールを使用してサイトのすべてのURLなどを検証することはできますが、誤検知を排除するためには人間が必要であり、知識を使用して複数の指標を相関させると、(悪用可能な)脆弱性が見つかる可能性があります。 – reiniero
security.stackexchange.comでより良い回答が見つかるかもしれません。そこに質問を投稿してみてください。 – Rap