OWASP渗透测试指南

由于渗透测试的技术种类多种多样, 作为攻击端的测试者, 提供统一的产品非常困难, 而作为攻击端的安全从业人员, 标准化渗透测试可以帮助我们将测试标准化为可重复、一致的测试方法，但并非所有的渗透测试方法都专注于相同类型的测试, 因此需要分解一下顶级测试框架。

开放式Web应用程序安全项目(OWASP)基金会(https://owasp.org/)是一个非营利性、社区驱动的组织。它负责跟踪和发布最新的Web应用程序安全风险、漏洞和渗透测试方法。OWASP测试指南主要关注Web应用程序及其相关技术。它为Web应用程序测试人员提供了跨多种途径定义漏洞的分布式指南方针。

OWASP测试指南总体步骤包括以下内容:

• 信息收集
• 配置和部署管理测试
• 身份管理测试
• 认证测试
• 授权测试
• 会话管理测试
• 输入验证测试
• 错误处理测试
• 弱密码测试
• 业务逻辑测试
• 客户端测试
• API测试
• 生成专业报告

OWASP被认为是所有类型Web应用程序渗透测试的黄金标准。组织可以在Web应用程序的开发生命周期中受益于遵循OWASP指南,以确保安全性融入应用程序的配置当中。

当测试重点关注 Web 应用程序时，Web 应用程序测试的综合方法使 OWASP 指南比其他渗透测试方法具有显着优势。当要确保我们和客户端Web应用程序、审核和安全评估是处于安全状态时，执行该标准将非常有用。

此外，OWASP还为社区提供其他项目和指南。OWASP基金会每年会针对当年影响Web应用程序环境的漏洞维护和更新OWASP Top 10的漏洞列表,。除此之外, OWASP基金会还维护 SAMM、安全编码指南、OWASP 移动应用程序安全（移动应用程序测试指南）和 OWASP Zed 应用程序代理（开源 Web 应用程序扫描仪）等项目。

Top10:https://owasp.org/www-project-top-ten/

OWASP Web 安全测试指南

Web 安全测试指南 (WSTG) 项目为 Web 应用程序开发人员和安全专业人员提供了一流的网络安全测试资源。

WSTG 是一份全面的 Web 应用程序和 Web 服务安全性测试指南。WSTG 由网络安全专家和敬业的志愿者共同创建，提供了一套最佳实践框架，供世界各地的渗透测试人员和组织使用。

• https://github.com/OWASP/wstg