web methodology

이 저장소의 위키에서 주최하는 방법론으로 바로 이동하십시오.

또는 테스트 추적을 위해 Google Sheets 템플릿을 확인하십시오.

이 방법론은 웹 응용 프로그램 보안 평가를 수행하는 방법에 대한 의견 안내서를 제시합니다. 주요 초점은 보안 검토 중에 테스터가 다루어야 할 모든 주요 영역을 명확하게 열거하는 데 있습니다. 도구로서 보안 테스터는 문서에서 배우고 테스트 프로세스를 형성하는 데 사용할 수 있습니다. 또한 개발자는 응용 프로그램에 어떤 유형의 취약성이 존재할 수 있는지 이해하고 공격의 위험을 줄이기 위해 구현 해야하는 모범 사례를 이해할 수 있습니다.

초보자 인 경우이 방법론은 튜토리얼이나 소개보다는 참조 문서로 간주 될 수 있습니다. 대신 Portswigger의 웹 보안 아카데미와 Eric Rescorla의 블로그 시리즈가 웹 보안 모델 이해를 권장합니다.

이 방법론의 목표는 테스트 할 문제, 해당 문제가 중요한 이유를 전달하는 데 가능한 한 효과적이어야합니다. (가능한 경우) 문제를 효율적으로 테스트하고 개선하는 방법에 대한 권장 사항을 제공합니다. 문서를 작성할 때 내가 따르는 지침 원리는 다음과 같습니다.

유연성, 신뢰성, 유용성 : 문서는 광범위한 다양한 응용 프로그램에서 최신 상태로 유지해야합니다. 방법론이 특정 기술이나 프레임 워크에 너무 중점을두면 독자는 주어진 문제가 자신의 상황에 적용되는지 확실하지 않습니다. 덜 경험이 부족한 독자 (현대 보안 테스트가 어떻게 보이는지 소개하기 위해)와 실험적 인 독자 (최신 상태를 유지하고 전체 커버리지를 달성 할 수 있도록)에 의해 사용할 수 있어야합니다.

간결하십시오 : 문서는 각 범주 나 문제를 설명 할 때 가능한 한 간결해야합니다. 문제의 핵심으로 바로 가서 더 많은 정보를 위해 필요할 때 고품질 참조를 제공하십시오. 한 가지 문제가 전체 문서의 일부일 뿐이라면 단일 문제에 대한 정보로 문서를 둔화하지 마십시오.

의견을 말하십시오 : 모범 사례를 명확하게 진술하는 것을 부끄러워하지 마십시오. 더 중요한 것은, 가능한 모든 보안 문제를 다루려고 시도하지 마십시오. 특히 문제가 대부분의 상황에서 미치는 영향이 최소화되거나 전혀 영향을 미치지 않는 경우. 문제에 수용 가능한 다양한 권장 사항이있는 경우, 안전하고 광범위하게 적용 할 수있는 제안을하고 독자에게 의존하여 특정 컨텍스트에 대한 권장 사항을 조정하십시오.

궁극적으로, 방법론은 특정 응용 프로그램의 맥락을 고려할 수있는 숙련 된 테스터의 판단을 대신 할 수 없습니다. C로 작성된 자체 재배 된 임베디드 HTTP 서버는 React Frontend가있는 최신 웹 프레임 워크를 사용하여 Kubernetes 마이크로 서비스와 매우 다른 취약점을 갖습니다. 이 문서는 웹 응용 프로그램의 보안을 향상시키는 데 관심이있는 사람이 사용할 수있는 기준을 정의하며 고품질 결과를 제공하기 위해 테스터가 보유 할 수있는 표준 역할을합니다.