是否有这样的事情在Java中的自动安全测试?如果是这样,它是如何实施的?仅仅是为了尝试和利用已知的服务器漏洞而编写的JUnit测试,还是以它们以安全为中心的测试框架?Java安全测试
作为一个segue,我也对这个OWASP安全测试框架感兴趣,但不能告诉他们是否使用经典意义上的“框架”(意思是遵循一组指导原则和程序),或者一个软件上下文(他们实际上提供自动化安全测试组件)。
由于任何可以提供一些线索这对我来说!
是否有这样的事情在Java中的自动安全测试?如果是这样,它是如何实施的?仅仅是为了尝试和利用已知的服务器漏洞而编写的JUnit测试,还是以它们以安全为中心的测试框架?Java安全测试
作为一个segue,我也对这个OWASP安全测试框架感兴趣,但不能告诉他们是否使用经典意义上的“框架”(意思是遵循一组指导原则和程序),或者一个软件上下文(他们实际上提供自动化安全测试组件)。
由于任何可以提供一些线索这对我来说!
不知道它到底是你在找什么,但是有一篇关于使用junit测试安全权限的Stephen Colebourne(joda时间和未来的新标准java8日期 - 时间API的作者)的博客文章:Stephen Colebourne's blog: Testing a security permission
模糊测试绝不会伤害:http://www.ibm.com/developerworks/java/library/j-fuzztest/index.html
模糊测试可以帮助你确保你的应用程序对用户输入任何机会安全。
模糊测试是在某种程度上JUnit测试有点尴尬,因为他们是“随机”。您可能想要在测试套件中的每个输入路径上循环并运行一系列模糊测试。
有商业工具如的VeraCode是做安全扫描。我不为他们工作,但我的公司使用它。看起来很彻底。
自动安全测试硬但是,这并不意味着它不值得做。
我的网络应用程序的建议 - 使用现有的单元和集成测试(如硒),然后代理他们通过像OWASP ZAP(捷思锐攻击代理)中的安全工具。 有关更多详细信息,请参阅http://code.google.com/p/zaproxy/wiki/SecRegTests。
Simon(ZAP项目负责人)
是的,Zed攻击代理(ZAP)是渗透测试的好工具 –
嗨Ivan,谢谢,我会检查那篇文章。与此同时,我正在寻找的是这样的答案:是否使用JUnit编写安全测试,还是有另一个框架(特别是)针对安全问题?如果是这样,OWASP是其中之一吗? – IAmYourFaja