安全测试全面总结-安全体系3-基于OWASP-ZAP进行接口安全测试

再次系统的整理一下深入一下安全测试

• OWASP ZAP
  owasp zap是一个开源的工具，建议新手使用这个工具，是owasp做的，

• WVS

• AppScan
  wvs和appscan是收费的，

• BurpSuite
  burpsuite，上一个公司就使用的burpsuite，这是一个渗透测试的工具，有一部分功能是收费的，比如自动化扫描的工具，
  这是黑客比较常用的工具，

• Sqlmap
  sqlmap是一个开源的sql扫描工具，

这几个是全球比较知名的，

一般的中小公司，开源的工具就够了，
但是大型的公司安全特别重要，这种就要寻找商业化的解决方案了，

安全测试维度

• 传输
  • 敏感信息传递加密
  • 链路加密
• 接口
  • 访问控制
• 参数
  • 注入: sql注入、命令注入、文件注入越权:越过更高权限、越过同级权限

有些是安全测试工程师需要审核的，工具是不知道的，
比如这个接口是不是要暴露，这个信息是不是要加密，工具是不知道的，这是业务级别的，不同的业务不同的要求，
下面讲讲业务安全相关的，

业务安全常见的checklist

• 业务数据传输链路分析
  http是否传输敏感信息
  tcp等协议是否可被解密

• 资产安全分析
  api清单收集: 明确敏感信息分级，可访问性验证
  api参数收集: 明确参数分类并针对分析
  token可遍历
  文件上传
  身份参数的有效性验证

建立安全测试流程

• 白盒代码分析:自动化
  sonar、findbugs等
  也可以集成到Jenkins

• 黑盒扫描机制:自动化
  zap、wvs、burpsuite、 appscan、 sqlmap
  黑盒自动化扫描，zap和sqlmap可以集成到Jenkins中自动化扫描，

• 业务流程安全探索:人工检测
  burpsuite、 zap
  如果扫描工具也发现不了问题的，那就要这一步，人工，

所以整个的安全体系是三个部分，