web methodology

直接跳到該倉庫Wiki中的方法。

另外，請查看Google表模板進行測試跟踪。

該方法介紹了有關如何進行Web應用程序安全評估的觀念指南。主要重點是清楚列舉測試人員在安全審查期間應涵蓋的所有主要領域。作為工具，安全測試人員可以從文檔中學習並使用它來塑造其測試過程。開發人員還可以使用它來了解其應用程序中可能存在哪些類型的漏洞，以及他們應實施的最佳實踐以降低攻擊風險。

如果您是初學者，則可以將此方法視為參考文獻文檔，而不是教程或介紹。相反，我推薦Portswigger的Web安全學院和Eric Rescorla的博客系列了解Web安全模型。

這種方法的目的是在傳達要測試的問題，為什麼重要的原因以及（在可能的情況下）提供有關如何有效測試和補救問題的建議。我編寫文檔時遵循的指導原則是：

靈活性，可靠性，可用性：該文檔應在各種不同的應用程序中保持最新和可用。如果該方法非常關注特定的技術或框架，則讀者將不確定給定問題是否適用於他們的情況。經驗不足的讀者應該可以使用（為現代安全測試的外觀提供介紹）和經驗豐富的讀者（以保持最新狀態並幫助確保他們獲得全面覆蓋）。

簡潔：在解釋每個類別或問題時，該文檔應盡可能簡潔。直接進入問題的核心，並在需要時提供高質量的參考以獲取更多信息。當一個問題只是整個文檔的一小部分時，避免在任何單個問題上膨脹文檔。

請自以為是：不要迴避明確說明最佳實踐。更重要的是，不要試圖解決所有可能的安全問題 - 尤其是在大多數情況下問題最小或沒有影響時。如果問題有一系列可接受的建議，請提出一個安全的，可廣泛的建議，並依靠讀者為其特定上下文調整建議。

最終，沒有方法可以替代經驗豐富的測試人員的判斷，他們可以考慮其特定應用的背景。與使用React Frontend的最新Web框架相比，用C編寫的本地嵌入式HTTP服務器將具有與Kubernetes微服務相比，將具有非常不同的漏洞。本文檔定義了一個基線，任何有興趣改善Web應用程序安全性的人都可以使用，並用作測試人員可以保持自己的標準，以便提供高質量的結果。