OWASP 清单网络

【问题标题】:OWASP CheckList WebOWASP 清单网络
【发布时间】:2018-11-06 15:22:13
【问题描述】:

在我的公司中,我们使用 AppScan Enterprise(或 Standard)进行动态分析来检查我们观察到的网站上的漏洞类型,但这还不够。

我们的程序员现在需要使用 OWASP Checklist (ASVS 3.0) 并填写清单。此过程处于“alpha 模式”,我们仍在了解它。

我注意到的是,Mobile Checklist 确实配置了一些表格和测试程序,但 Web Checklist 没有该测试程序。

我们正在使用本指南: https://media.readthedocs.org/pdf/owasp-aasvs/latest/owasp-aasvs.pdf,但我们认为这不足以满足所有类别。

有人可以推荐一个有深刻解释的视频或一些 pdf 的指南来完成我们已经拥有的信息吗?

提前谢谢你。

最好的问候。

【问题讨论】:

    标签: owasp


    【解决方案1】:

    你看过 owasp 网页吗?也许这个 pdf 可以帮助你进一步 Owasp pdf 我会在这里查看更多资源 Owasp main page

    【讨论】:

    • “OWASP Top 10 - 2017” pdf 最常见的漏洞...也许,我的解释不是很清楚:例如,我想测试这个主题: V9。数据保护验证要求:验证应用程序能够检测异常数量的数据收集请求并发出警报,例如屏幕抓取。有一些指南可以填补这一点吗?也许我们需要安装一些工具来做到这一点?只能通过 Code Review 执行吗?谢谢。
    • 我正在阅读 v9.x 的内容。它告诉你一些安全措施,也许它没有直接告诉你如何处理它,但它告诉你使用 xss 可以窃取客户端数据。所以你应该尝试清理 xss。我不知道具体的工具,但如果你想检查漏洞,有一些工具,比如 OWASP ZAP,其中包含很多测试。也许测试指南可以帮助您进一步Testing Guide 例如如何测试 xss
    • 我知道 ZAP,但我改用 BurpSuiteAppScan Enterprise/Standard 来检查漏洞和可能的误报。我们已经对 SQL 注入、XSS 攻击、CSRF 攻击等进行了这些测试......我只是想知道是否有一个很好的指南可以遵循 ASVS 3.0 以及最好的测试程序,但无论如何感谢@nalnpir。
    猜你喜欢
    • 2021-12-14
    • 2011-03-17
    • 2017-04-09
    • 2013-12-26
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-03-27
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode