web methodology

直接跳到该仓库Wiki中的方法。

另外，请查看Google表模板进行测试跟踪。

该方法介绍了有关如何进行Web应用程序安全评估的观念指南。主要重点是清楚列举测试人员在安全审查期间应涵盖的所有主要领域。作为工具，安全测试人员可以从文档中学习并使用它来塑造其测试过程。开发人员还可以使用它来了解其应用程序中可能存在哪些类型的漏洞，以及他们应实施的最佳实践以降低攻击风险。

如果您是初学者，则可以将此方法视为参考文献文档，而不是教程或介绍。相反，我推荐Portswigger的Web安全学院和Eric Rescorla的博客系列了解Web安全模型。

这种方法的目的是在传达要测试的问题，为什么重要的原因以及（在可能的情况下）提供有关如何有效测试和补救问题的建议。我编写文档时遵循的指导原则是：

灵活性，可靠性，可用性：该文档应在各种不同的应用程序中保持最新和可用。如果该方法非常关注特定的技术或框架，则读者将不确定给定问题是否适用于他们的情况。经验不足的读者应该可以使用（为现代安全测试的外观提供介绍）和经验丰富的读者（以保持最新状态并帮助确保他们获得全面覆盖）。

简洁：在解释每个类别或问题时，该文档应尽可能简洁。直接进入问题的核心，并在需要时提供高质量的参考以获取更多信息。当一个问题只是整个文档的一小部分时，避免在任何单个问题上膨胀文档。

请自以为是：不要回避明确说明最佳实践。更重要的是，不要试图解决所有可能的安全问题 - 尤其是在大多数情况下问题最小或没有影响时。如果问题有一系列可接受的建议，请提出一个安全的，可广泛的建议，并依靠读者为其特定上下文调整建议。

最终，没有方法可以替代经验丰富的测试人员的判断，他们可以考虑其特定应用的背景。与使用React Frontend的最新Web框架相比，用C编写的本地嵌入式HTTP服务器将具有与Kubernetes微服务相比，将具有非常不同的漏洞。本文档定义了一个基线，任何有兴趣改善Web应用程序安全性的人都可以使用，并用作测试人员可以保持自己的标准，以便提供高质量的结果。