是指基于漏洞數(shù)據(jù)庫(kù)，通過(guò)掃描工具等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)信息系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用漏洞的一種安全檢測(cè)的行為，以提升軟件質(zhì)量為目的。

OWASP-TOP10

OWASP是 open web application security project 的縮寫。這個(gè)系列主要介紹這十個(gè)最多被攻擊的安全漏洞。

1.注入攻擊 （Injection）

2.無(wú)效身份認(rèn)證（Broken Authentication）

3.敏感信息泄漏（Sensitive Data Exposure）

4.XML外部處理器漏洞（XML External Entities (XXE)）

5.無(wú)效存取控管（Broken Access Control）

6.錯(cuò)誤設(shè)置安全系統(tǒng)（Security Misconfiguration）

7.跨站攻擊（Cross-Site Scripting (XSS)）

8.不安全的反序列化漏洞（Insecure Deserialization）

9.使用已有漏洞元件（Using Components with Known Vulnerabilities）

10.日志和監(jiān)控不足風(fēng)險(xiǎn)（Insufficient Logging and Monitoring）

測(cè)試流程

1、    需求評(píng)估

提供被測(cè)件操作手冊(cè)或者訪問(wèn)地址并提供測(cè)試申請(qǐng)表。

2、    簽訂合同

確認(rèn)測(cè)試申請(qǐng)表、達(dá)成合作意向、簽訂合同

3、    測(cè)試溝通

確認(rèn)測(cè)試方案、用例設(shè)計(jì)、資源環(huán)境

4、    測(cè)試準(zhǔn)備

準(zhǔn)備測(cè)試需求環(huán)境、軟硬件資源配置、人員協(xié)調(diào)

5、    執(zhí)行測(cè)試

配合測(cè)試、缺陷問(wèn)題提交、測(cè)試記錄、回歸測(cè)試

6、    報(bào)告確認(rèn)

出具報(bào)告初稿、修改報(bào)告、確認(rèn)報(bào)告

7、    交付

完成付款、交付正式報(bào)告