0
誰でもセキュリティまたは侵入テストのカバレッジを理解する方法を知っていますか?セキュリティまたは侵入テストのカバレッジを知る方法
私は機能テストのカバレッジ測定のための伝統的な方法は、セキュリティテストにはあまり役に立ちません。セキュリティテストのために、実際には、すべてのロジックブランチをカバーする必要はありません。 URLとパラメータ全体をカバーすると、基本的にすべてがカバーされます。
ありがとうございました。
A
答えて
0
ウェブアプリケーションセキュリティ評価の対象範囲の1つとして、テスト対象の範囲があります。最低限、OWASPトップ10の問題をテストする必要がありますが、高品質の評価ではビジネスロジックとアプリケーション固有の問題を適切に評価します。また、テスターは、ウェブアプリケーションで使用される特定の技術(たとえば、Adobe Flash、Google Gears)を理解している必要があります。
侵入テストは専門的な活動ですので、信頼できる尊敬を受けた企業にテストを実行させてください。英国では、CHECKスキームが高く評価されており、認定企業の一覧はこちらからご覧いただけます。http://www.crest-approved.org/member_companies.php
完全開示:私は、侵入テストサービスを提供するVerizon Businessの仕事をしています。
+0
haha。 OK。 urアドバイスありがとう。 IC。 – willpowerforever
+0
OWASPトップ10は始めるには良い方法だと約束しました。トムが示唆したように、ペンテスターが仕事を適切に行うことを信頼しなければなりません。ツールを使用してサイトのすべてのURLなどを検証することはできますが、誤検知を排除するためには人間が必要であり、知識を使用して複数の指標を相関させると、(悪用可能な)脆弱性が見つかる可能性があります。 – reiniero
関連する問題
- 1. 侵入検知システム、セキュリティ+質問
- 2. セットトップボックスの侵入テストの実行方法
- 3. Nodejs侵入テスト
- 4. マイクロサービスの侵入検知システムの設定方法は?
- 5. シッククライアント侵入テスト用のベストツール
- 6. 侵入テスト用のツールとプログラミング言語
- 7. ファジーロジックを使用した侵入検知システムの構築
- 8. 侵入検知のためのラベル付きデータセットの検索
- 9. HTTPSセキュリティが侵害されています。直し方?
- 10. ファイトラーの侵入を減らす方法は?
- 11. 列車ニューラルネットワークのSYSLOG FILEによる侵入検知のデータセット。
- 12. Kubernetesの侵入は:バックエンドサービス
- 13. MSTestからテスト結果とカバレッジhtmlレポートを入手する方法はありますか
- 14. メモリ侵入
- 15. イスタンブールを使用したモカのテストでは、テストコードのカバレッジは50%です。それを100%にする方法は?
- 16. ブースト::侵入型HPC
- 17. Amazon EC2侵入リクエストフォーム
- 18. ウェブ/ネットワーク/侵入テストオープンソースツール
- 19. バッファオーバーフローの悪用はまだ実用的な侵入方法ですか?
- 20. ASP.NET:ページ上のすべて、またはコントロールに侵入?
- 21. カバレッジ統合テストIntelliJ on Wildfly
- 22. JBOSS Struts 2アプリケーションの侵入
- 23. androidの侵入テストアプリを作成する
- 24. パスワードを忘れた場合、PostgreSQLデータベースに侵入する方法はありますか?
- 25. 春のセキュリティで春のアプリケーションでRESTをテストする方法
- 26. SonarQube 5.1.1は統合テストのカバレッジをサポートしていますか?
- 27. python-owasp-zap-v2.4パッケージを使用してPythonのOWASP侵入テストを自動化
- 28. スレッドセーフブースト侵入リストが遅い
- 29. Divが別の列に侵入する
- 30. JUnit - SQLException、カバレッジを取得する方法?
security.stackexchange.comでより良い回答が見つかるかもしれません。そこに質問を投稿してみてください。 – Rap