web methodology

Lompat langsung ke metodologi, yang diselenggarakan di wiki repo ini.

Atau, lihat template Google Sheets untuk pelacakan tes.

Metodologi ini menyajikan panduan yang bertentangan tentang cara melakukan penilaian keamanan aplikasi web. Fokus utama adalah dengan jelas menyebutkan semua bidang utama yang harus diliput oleh penguji selama tinjauan keamanan. Sebagai alat, penguji keamanan dapat belajar dari dokumen dan menggunakannya untuk membentuk proses pengujian mereka. Ini juga dapat digunakan oleh pengembang untuk memahami jenis kerentanan apa yang mungkin ada dalam aplikasi mereka dan praktik terbaik yang harus mereka terapkan untuk mengurangi risiko serangan.

Jika Anda seorang pemula, metodologi ini dapat dianggap lebih dari dokumen referensi daripada tutorial atau pengantar. Saya malah merekomendasikan Akademi Keamanan Web Portswigger dan seri blog Eric Rescorla memahami model keamanan web .

Tujuan dari metodologi ini adalah agar seefektif mungkin dalam mengkomunikasikan masalah apa yang akan diuji, mengapa masalah itu penting, dan (jika memungkinkan) memberikan rekomendasi tentang cara menguji secara efisien dan memulihkan masalah ini. Prinsip -prinsip panduan yang saya ikuti saat menulis dokumen adalah:

Fleksibilitas, keandalan, kegunaan : Dokumen tersebut harus tetap terkini dan dapat digunakan di berbagai aplikasi yang berbeda. Jika metodologi ini terlalu berfokus pada teknologi atau kerangka kerja tertentu, pembaca tidak akan memastikan apakah masalah yang diberikan berlaku untuk situasi mereka. Itu harus dapat digunakan oleh pembaca yang kurang berpengalaman (untuk memberikan pengantar seperti seperti apa pengujian keamanan modern) dan pembaca yang sangat berpengalaman (agar tetap up-to-date dan membantu memastikan mereka mencapai cakupan penuh).

Jadilah ringkas : Dokumen harus ringkas mungkin dalam menjelaskan setiap kategori atau masalah. Lurus ke jantung masalah dan berikan referensi berkualitas tinggi saat dibutuhkan untuk informasi lebih lanjut. Hindari kembung dokumen dengan informasi tentang masalah tunggal apa pun, ketika satu masalah hanyalah sebagian kecil dari seluruh dokumen.

Dipendekakan : Jangan menghindar dari praktik terbaik dengan jelas. Yang lebih penting lagi, jangan berusaha untuk mencakup setiap masalah keamanan yang mungkin - terutama ketika suatu masalah memiliki dampak minimal atau tidak ada dalam sebagian besar situasi. Jika suatu masalah memiliki berbagai rekomendasi yang dapat diterima, buat saran yang aman dan dapat ditetapkan secara luas dan bergantung pada pembaca untuk menyesuaikan rekomendasi untuk konteks spesifik mereka.

Pada akhirnya, tidak ada metodologi yang merupakan pengganti untuk penilaian penguji yang berpengalaman yang dapat memperhitungkan konteks aplikasi spesifik mereka. Server HTTP tertanam yang ditulis di rumah yang ditulis dalam C akan memiliki kerentanan yang sangat berbeda dari Microservice Kubernetes menggunakan kerangka kerja web terbaru dengan frontend React. Dokumen ini mendefinisikan garis dasar yang dapat digunakan oleh siapa saja yang tertarik untuk meningkatkan keamanan aplikasi web, dan berfungsi sebagai standar yang dapat dipegang oleh penguji untuk memberikan hasil berkualitas tinggi.