web methodology

Springen Sie direkt zur Methodik, die im Wiki dieses Repos veranstaltet wird.

Alternativ finden Sie in der Google Sheets -Vorlage zur Testverfolgung.

Diese Methodik stellt eine Meinung über die Durchführung einer Bewertung der Webanwendungssicherheit vor. Der Hauptaugenmerk liegt darauf, alle Hauptbereiche, die ein Tester während einer Sicherheitsüberprüfung abdecken sollte, klar zu zählen. Als Tool können Sicherheitstester aus dem Dokument lernen und es verwenden, um ihren Testprozess zu formen. Es kann auch von Entwicklern verwendet werden, um zu verstehen, welche Arten von Schwachstellen in ihren Anwendungen vorhanden sein können, und welche Best Practices sie umsetzen sollten, um das Risiko von Angriffen zu verringern.

Wenn Sie ein Anfänger sind, kann diese Methodik eher als Referenzdokument als als Tutorial oder Einführung angesehen werden. Ich empfehle stattdessen die Web Security Academy von Portswigger und die Blog -Serie von Eric Rescorla , die das Websicherheitsmodell verstehen .

Das Ziel dieser Methodik ist es, so effektiv wie möglich zu sein, um zu kommunizieren, welche Probleme zu testen sind, warum dieses Problem von Bedeutung ist und (wenn möglich) Empfehlungen zum effizienten Testen und zur Behebung des Problems geben. Die Leitprinzipien, die ich beim Schreiben des Dokuments folge, sind:

Flexibilität, Zuverlässigkeit, Benutzerfreundlichkeit : Das Dokument sollte über eine Vielzahl verschiedener Anwendungen auf dem neuesten Stand gehalten und verwendet werden. Wenn sich die Methodik zu stark auf bestimmte Technologien oder Rahmenbedingungen konzentriert, sind die Leser nicht sicher, ob ein bestimmtes Problem für ihre Situation gilt. Es sollte von weniger erfahrenen Lesern verwendet werden (um eine Einführung in die Moderne-Sicherheitstests zu ermöglichen) und hochforschende Leser (um sie auf dem neuesten Stand zu halten und sicherzustellen, dass sie die vollständige Abdeckung erreichen).

Seien Sie prägnant : Das Dokument sollte so kurz wie möglich sein, wenn Sie jede Kategorie oder jedes Problem erklären. Gehen Sie direkt in den Mittelpunkt der Angelegenheit und geben Sie bei Bedarf qualitativ hochwertige Referenzen, um weitere Informationen zu erhalten. Vermeiden Sie das Aufblähen des Dokuments mit Informationen zu einem einzigen Problem, wenn ein Problem nur ein kleiner Teil des gesamten Dokuments ist.

Seien Sie der Meinung : Scheuen Sie sich nicht vor den besten Verfahren. Noch wichtiger ist, versuchen Sie nicht, jedes mögliche Sicherheitsproblem zu behandeln - insbesondere wenn ein Problem in den meisten Situationen minimale oder keine Auswirkungen hat. Wenn ein Problem eine Reihe akzeptabler Empfehlungen aufweist, machen Sie einen sicheren, weit verbreiteten Vorschlag und verlassen Sie sich auf den Leser, um die Empfehlung für ihren spezifischen Kontext anzupassen.

Letztendlich ist keine Methodik ein Ersatz für das Urteil eines erfahrenen Tester, der den Kontext seiner spezifischen Anwendung berücksichtigen kann. Ein in C geschriebener in C geschriebenes eingebauter HTTP-Server hat sehr unterschiedliche Schwachstellen als ein Kubernetes-Microservice mit dem neuesten Web-Framework mit einem React-Frontend. In diesem Dokument wird eine Basis definiert, die von jedem verwendet werden kann, der für die Verbesserung der Sicherheit von Webanwendungen interessiert ist, und dient als Standard, an dem Tester sich halten können, um qualitativ hochwertige Ergebnisse zu erzielen.