หน้าแรก>แหล่งข้อมูลการสร้างเว็บไซต์>ข้อมูลเว็บไซต์
ดาวน์โหลด

กระโดดตรงไปที่วิธีการจัดขึ้นในวิกิของ repo นี้

หรือตรวจสอบเทมเพลต Google Sheets สำหรับการติดตามการทดสอบ

เกี่ยวกับวิธีการ

วิธีการนี้นำเสนอคู่มือความคิดเห็นเกี่ยวกับวิธีการประเมินความปลอดภัยของแอปพลิเคชันเว็บแอปพลิเคชัน จุดสนใจหลักคือการระบุพื้นที่หลักทั้งหมดที่ผู้ทดสอบควรครอบคลุมอย่างชัดเจนในระหว่างการตรวจสอบความปลอดภัย ในฐานะเครื่องมือผู้ทดสอบความปลอดภัยสามารถเรียนรู้จากเอกสารและใช้เพื่อกำหนดกระบวนการทดสอบของพวกเขา นอกจากนี้ยังสามารถใช้โดยนักพัฒนาเพื่อทำความเข้าใจว่าประเภทของช่องโหว่ประเภทใดที่อาจมีอยู่ในแอปพลิเคชันของพวกเขาและแนวทางปฏิบัติที่ดีที่สุดที่พวกเขาควรนำไปใช้เพื่อลดความเสี่ยงของการโจมตี

หากคุณเป็นผู้เริ่มต้นวิธีการนี้อาจได้รับการพิจารณาเอกสารอ้างอิงมากกว่าการสอนหรือบทนำ ฉันขอแนะนำ Web Security Academy ของ Portswigger และซีรีย์บล็อกของ Eric Rescorla ทำความเข้าใจกับรูปแบบความปลอดภัยของเว็บ

เป้าหมายของวิธีการ

เป้าหมายของวิธีการนี้คือการมีประสิทธิภาพมากที่สุดเท่าที่จะเป็นไปได้ในการสื่อสารปัญหาที่จะทดสอบทำไมปัญหานั้นจึงมีความสำคัญและ (หากเป็นไปได้) ให้คำแนะนำเกี่ยวกับวิธีการทดสอบอย่างมีประสิทธิภาพและแก้ไขปัญหา หลักการชี้นำที่ฉันติดตามเมื่อเขียนเอกสารคือ:

ความยืดหยุ่นความน่าเชื่อถือการใช้งาน : เอกสารควรได้รับการปรับปรุงให้ทันสมัยและสามารถใช้งานได้ในแอพพลิเคชั่นที่หลากหลาย หากวิธีการมุ่งเน้นไปที่เทคโนโลยีหรือเฟรมเวิร์กที่เฉพาะเจาะจงมากเกินไปผู้อ่านจะไม่แน่ใจว่าปัญหาที่กำหนดใช้กับสถานการณ์ของพวกเขาหรือไม่ ควรใช้งานได้โดยผู้อ่านที่มีประสบการณ์น้อย (เพื่อให้คำแนะนำเกี่ยวกับการทดสอบความปลอดภัยที่ทันสมัยที่มีลักษณะอย่างไร) และผู้อ่านที่มีประสบการณ์สูง (เพื่อให้พวกเขาทันสมัยและช่วยให้มั่นใจว่าพวกเขาได้รับความคุ้มครองเต็มรูปแบบ)

จงกระชับ : เอกสารควรสั้นที่สุดเท่าที่จะเป็นไปได้ในการอธิบายแต่ละหมวดหมู่หรือปัญหา ตรงไปที่หัวใจของเรื่องและให้การอ้างอิงที่มีคุณภาพสูงเมื่อจำเป็นสำหรับข้อมูลเพิ่มเติม หลีกเลี่ยงการท้องอืดด้วยข้อมูลเกี่ยวกับปัญหาใด ๆ เมื่อปัญหาหนึ่งเป็นเพียงส่วนเล็ก ๆ ของเอกสารทั้งหมด

ให้ความเห็น : อย่าอายที่จะระบุวิธีปฏิบัติที่ดีที่สุดอย่างชัดเจน ที่สำคัญยิ่งกว่านั้นอย่าพยายามครอบคลุมทุกประเด็นด้านความปลอดภัยที่เป็นไปได้โดยเฉพาะอย่างยิ่งเมื่อปัญหามีผลกระทบน้อยที่สุดหรือไม่มีผลกระทบในสถานการณ์ส่วนใหญ่ หากปัญหามีช่วงของคำแนะนำที่ยอมรับได้ให้ทำคำแนะนำที่ปลอดภัยและใช้งานได้อย่างกว้างขวางและพึ่งพาผู้อ่านเพื่อปรับคำแนะนำสำหรับบริบทเฉพาะของพวกเขา

ในที่สุดไม่มีวิธีการใดที่แทนการตัดสินของผู้ทดสอบที่มีประสบการณ์ซึ่งสามารถคำนึงถึงบริบทของแอปพลิเคชันเฉพาะของพวกเขา เซิร์ฟเวอร์ HTTP แบบฝังตัวที่ปลูกในบ้านที่เขียนใน C จะมีช่องโหว่ที่แตกต่างจาก Microservice Kubernetes โดยใช้เฟรมเวิร์กเว็บล่าสุดที่มีส่วนหน้า เอกสารนี้กำหนดพื้นฐานที่ทุกคนที่สนใจในการปรับปรุงความปลอดภัยของเว็บแอปพลิเคชันและทำหน้าที่เป็นมาตรฐานที่ผู้ทดสอบสามารถยึดมั่นในตัวเองเพื่อให้ได้ผลลัพธ์ที่มีคุณภาพสูง

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด