OWASP：全球更具权威的服务器测试标准 (owasp 服务器测试)

随着互联网的普及，网络安全问题越来越成为人们关注的焦点。服务器作为互联网上的重要节点，其安全性也越来越引起人们的重视。为了确保服务器的安全性，许多组织和机构都制定了自己的测试标准，其中 OWASP （Open Web Application Security Project） 是更具权威性和实用性的服务器测试标准。

OWASP 简介

OWASP 是一个致力于研究和弥补应用程序安全性问题的非营利组织。该组织成立于 2023 年，总部位于美国。OWASP 的主要目的是促进互联网应用程序的安全性，提高应用安全意识和能力，并提供信息、工具和技术，以帮助各种类型的组织提高应用程序的安全性。OWASP 的项目适用于开发人员、安全测试人员、安全顾问、管理人员、组织领导者和法规制定者等不同类型的用户。

OWASP 的服务器测试标准

OWASP 具有全球更具权威性的服务器测试标准，该标准被广泛用于测试和评估应用程序的安全性。其测试标准包括以下几个方面。

注入攻击

注入攻击是指攻击者通过恶意注入代码或命令来利用应用程序中的漏洞，严重危害应用程序的安全性。OWASP 的测试标准中包括了多种注入攻击的测试方法。

跨站点脚本（XSS）

XSS 攻击是指攻击者通过在应用程序中插入脚本来篡改用户会话，比如盗取用户的敏感信息、窃取用户口令等。OWASP 的测试标准中包括了多种 XSS 攻击的测试方法。

跨站点请求伪造（CSRF）

CSRF 攻击是指攻击者通过篡改用户的请求来进行恶意操作，比如修改用户账户信息、窃取用户资金等。OWASP 的测试标准中包括了多种 CSRF 攻击的测试方法。

敏感数据泄露

敏感数据泄露是指应用程序中存在的不安全的交互、不安全的数据存储和传输等问题，导致用户隐私、敏感信息被泄露。OWASP 的测试标准中包括了多种敏感数据泄露的测试方法。

OWASP 的测试方法

OWASP 提供了多种测试方法，以确保应用程序的安全性。其主要的测试方法包括下列几个方面。

黑盒测试

黑盒测试是指在不了解被测程序内部结构的情况下，对程序进行测试，以检测程序是否存在漏洞等问题。测试者只能通过输入输出来模拟用户的行为，以此来发现应用程序的漏洞。

白盒测试

白盒测试是指在掌握被测程序内部结构和代码的情况下，对程序进行测试，以检测程序是否存在漏洞等问题。测试者可以通过代码审查、调试等方式来查找应用程序存在的漏洞。

灰盒测试

灰盒测试是指在了解部分被测程序内部结构和代码的情况下，对程序进行测试，以检测程序是否存在漏洞等问题。测试者可以通过代码分析、调试等方式来查找应用程序存在的漏洞。

OWASP 带来的意义

OWASP 提供了最全面、更先进的应用程序安全测试标准，其测试方法可以帮助用户更好地发现应用程序的漏洞和安全隐患并及时修复，从而确保应用程序的安全性和性能。同时， OWASP 也促进了应用程序的安全性知识和文化的普及，为企业、组织和开发者提供了相应的培训和考核，从而更好地提高了应用程序的安全性。

随着网络安全问题日益严重， OWASP 组织提供的全球更具权威的服务器测试标准成为了确保应用程序安全性的重要工具。 OWASP 的测试方法非常全面和优秀，可以帮助开发者、管理者和测试人员更好地发现应用程序的漏洞和安全隐患，并及时采取措施修复漏洞，从而确保应用程序的安全性、稳定性和可靠性。

相关问题拓展阅读：

• APP的安全漏洞怎么检测，有什么工具可以进行检测？
• Web应用安全威胁与防治——基于OWASP Top 10与ESAPI的目录

APP的安全漏洞怎么检测，有什么工具可以进行检测？

目前我经常用的漏洞检测工具主要就是爱内测，因为爱内测会根据应用特性，对程序机密性会采取不同程度不同方式的检测，检测项目包括代码是否混淆，DEX、so库文件是否游桐保护，程序签名、权限管理是否完整等；组件安全检测主要针对Activity、Broadcast Receiver、Service、WebView、Intent等是否存在漏神瞎坦洞，并给出针对性建议；数据安全会全面检测APP存在的数据泄漏漏洞和输出层、协议层等所有涉及数据安全的漏洞，确保APP里那些可能导致帐号泄露的漏洞被全部检测神肢出。

七个有代表性的免费APP应用安全测试工具：

1、OWASP Zed Attack Proxy (ZAP)

OWASP ZAP 是目前更流行的免费APP移动安全测试工具，由全球数百个志愿者维护。该工具可以在APP的开发和测试阶段自动查找安全漏洞。OWASP ZAP同时还是高水平渗透测试专家非常喜爱的手动安全测试工具。

2、QARK (Quick Android Review Kit)

QARK 是一种Android程序源代码安全漏洞分析工具。该工具有自己的开发社区，任何人都可以免费使用。QARK还会尝试提供提供动态生成的Android Debug Bridge（ADB）命令来帮助核实潜在漏洞。

3、Devknox

对于使用Android Studio开发Android应用程序的开发者来说，Devknox是此类移动安全检测工具中的佼佼者，Devknox不但能检测基本的移动安全问题，还能向开发者提供问题修复的实时建议。

4、Drozer

Drozer 是一个相当全面的Android安全与攻击框架，这个移动app安全测试工具能够通过进程间通讯机制（IPC）与其他Android应用和操作系统互动，这种互动机制使其有别于其他自动化扫描工具。

5、MobSF (Mobile Security Framework)

Mobile Security Framework 是一个自动化的移动app安全测试工具，支持Android和iOS双平台，能够进行静态、动态分析以及web API测试。MobSF经常被用来对Android或iOS app进行快速安全分析吵肢，支持二进制（APK&IPA）形式以及芦尘源代码的zip压缩包。

6、Mitmproxy

Mitmproxy 是一个免费的开源工具，可以用于拦截、检测陪碰禅、修改或延迟app与后端服务之间的通讯数据，该工具的名字也可以看出这是一种类似中间人攻击的测试模式。当然，这也意味着该工具确实可以被黑客利用。

7、iMAS

iMAS 也是一个开源移动app安全测试工具，可以帮开发者在开发阶段遵守安全开发规则，例如应用数据加密、密码提示、预防应用程序篡改、在iOS设备中部署企业安全策略等。无论是检查设备越狱，保护驻内存敏感信息还是防范二进制补丁，iMAS能为你的iOS程序在充满敌意的环境中提供安全保障。

Web应用安全威胁与防治——基于OWASP Top 10与ESAPI的目录

第1篇 引子

故事一：家有一芹激IT，如有一宝 2

故事二：微博上的蠕禅首雹虫 3

故事三：明文密码 5

故事四：IT青年VS禅师 5

第2篇 基础篇

第1章 Web应用技术 8

1.1 HTTP简介 8

1.2 HTTPS简介 10

1.3 URI 11

1.3.1 URL 11

1.3.2 URI/URL/URN 12

1.3.3 URI比较 13

1.4 HTTP消息 13

1.4.1 HTTP方法14

1.4.2 HTTP状态码 19

1.5 HTTP Cookie20

1.5.1 HTTP Cookie的作用22

1.5.2 HTTP Cookie的缺点23

1.6 HTTP session23

1.7 HTTP的安全 24

第2章 OWASP 27

2.1 OWASP简介贺帆27

2.2 OWASP风险评估方法28

2.3 OWASP Top 10 34

2.4 ESAPI（Enterprise Security API） 35

第3篇 工具篇

第3章 Web服务器工具简介 38

3.1 Apache 38

3.2 其他Web服务器 39

第4章 Web浏览器以及调试工具 42

4.1 浏览器简介 42

4.1.1 基本功能 42

4.1.2 主流浏览器 43

4.1.3 浏览器内核 44

4.2 开发调试工具 45

第5章 渗透测试工具 47

5.1 Fiddler 47

5.1.1 工作原理 47

5.1.2 如何捕捉HTTPS会话 48

5.1.3 Fiddler功能介绍 49

5.1.4 Fiddler扩展功能 56

5.1.5 Fiddler第三方扩展功能 56

5.2 ZAP 58

5.2.1 断点调试 60

5.2.2 编码/解码 61

5.2.3 主动扫描 62

5.2.4 Spider63

5.2.5 暴力破解 64

5.2.6 端口扫描 65

5.2.7 Fuzzer66

5.2.8 API 66

5.3 WebScrab 67

5.3.1 HTTP代理67

5.3.2 Manual Request 69

5.3.3 Spider70

5.3.4 Session ID分析71

5.3.5 Bean Shell的支持 71

5.3.6 Web编码和解码 73

第6章 扫描工具简介 74

6.1 万能的扫描工具——WebInspect 74

6.1.1 引言 74

6.1.2 WebInspect特性 74

6.1.3 环境准备 74

6.1.4 HP WebInspect总览 76

6.1.5 Web网站测试 79

6.1.6 企业测试 86

6.1.7 生成报告 88

6.2 开源扫描工具——w3af 91

6.2.1 w3af概述 91

6.2.2 w3af环境配置 92

6.2.3 w3af使用示例 93

6.3 被动扫描的利器——Ratproxy 94

6.3.1 Ratproxy概述 94

6.3.2 Ratproxy环境配置 95

6.3.3 Ratproxy运行 96

第7章 漏洞学习网站 98

7.1 WebGoat 98

7.2 DVWA 99

7.3 其他的漏洞学习网站 99

第4篇 攻防篇

第8章 代码注入 102

8.1 注入的分类 104

8.1.1 OS命令注入 104

8.1.2 XPath注入109

8.1.3 LDAP注入114

8.1.4 SQL注入 118

8.1.5 ON注入131

8.1.6 URL参数注入 133

8.2 OWASP ESAPI与注入问题的预防 135

8.2.1 命令注入的ESAPI预防 135

8.2.2 XPath注入的ESAPI预防 138

8.2.3 LDAP注入的ESAPI预防 138

8.2.4 SQL注入的ESAPI预防 141

8.2.5 其他注入的ESAPI预防 143

8.3 注入预防检查列表 143

8.4 小结 144

第9章 跨站脚本（XSS）146

9.1 XSS简介 146

9.2 XSS分类 146

9.2.1 反射式XSS 146

9.2.2 存储式XSS 148

9.2.3 基于DOM的XSS 149

9.2.4 XSS另一种分类法 151

9.3 XSS危害 154

9.4 XSS检测 156

9.4.1 手动检测 156

9.4.2 半自动检测 158

9.4.3 全自动检测 158

9.5 XSS的预防 159

9.5.1 一刀切 159

9.5.2 在服务器端预防 160

9.5.3 在客户端预防 168

9.5.4 富文本框的XSS预防措施 170

9.5.5 CSS 172

9.5.6 FreeMarker174

9.5.7 OWASP ESAPI与XSS的预防 177

9.6 XSS检查列表 183

9.7 小结 184

第10章 失效的身份认证和会话管理 185

10.1 身份认证和会话管理简介185

10.2 谁动了我的琴弦——会话劫持186

10.3 请君入瓮——会话固定 188

10.4 我很含蓄——非直接会话攻击191

10.5 如何测试 199

10.5.1 会话固定测试 199

10.5.2 用Web Scrab分析会话ID 200

10.6 如何预防会话攻击 202

10.6.1 如何防治固定会话 202

10.6.2 保护你的会话令牌 204

10.7 身份验证 208

10.7.1 双因子认证流程图 209

10.7.2 双因子认证原理说明 210

10.7.3 隐藏在QR Code里的秘密 211

10.7.4 如何在服务器端实现双因子认证 212

10.7.5 我没有智能手机怎么办 216

10.8 身份认证设计的基本准则216

10.8.1 密码长度和复杂性策略 216

10.8.2 实现一个安全的密码恢复策略 217

10.8.3 重要的操作应通过HTTPS传输 217

10.8.4 认证错误信息以及账户锁定 219

10.9 检查列表 219

10.9.1 身份验证和密码管理检查列表 219

10.9.2 会话管理检查列表 220

10.10 小结 221

第11章 不安全的直接对象引用 222

11.1 坐一望二——直接对象引用 222

11.2 不安全直接对象引用的危害 224

11.3 其他可能的不安全直接对象引用 224

11.4 不安全直接对象引用的预防 225

11.5 如何使用OWASP ESAPI预防 227

11.6 直接对象引用检查列表 230

11.7 小结 230

第12章 跨站请求伪造（CSRF） 232

12.1 CSRF简介 232

12.2 谁动了我的奶酪232

12.3 跨站请求伪造的攻击原理233

12.4 剥茧抽丝见真相235

12.5 其他可能的攻击场景236

12.5.1 家用路由器被CSRF攻击 236

12.5.2 别以为用POST你就躲过了CSRF 238

12.5.3 写一个自己的CSRF Redirector 241

12.5.4 利用重定向欺骗老实人 243

12.6 跨站请求伪造的检测245

12.6.1 手工检测 245

12.6.2 半自动CSRFTester 246

12.7 跨站请求伪造的预防250

12.7.1 用户需要知道的一些小技巧 250

12.7.2 增加一些确认操作 250

12.7.3 重新认证 250

12.7.4 加入验证码（CAPTCHA） 250

12.7.5 ESAPI解决CSRF 250

12.7.6 CSRFGuard 256

12.8 CSRF检查列表 260

12.9 小结 261

第13章 安全配置错误 262

13.1 不能说的秘密——Google hacking 262

13.2 Tomcat那些事 264

13.3 安全配置错误的检测与预防 264

13.3.1 系统配置 264

13.3.2 Web应用服务器的配置 268

13.3.3 数据库 282

13.3.4 日志配置 284

13.3.5 协议 285

13.3.6 开发相关的安全配置 291

13.3.7 编译器的安全配置 302

13.4 安全配置检查列表 305

13.5 小结 307

第14章 不安全的加密存储 308

14.1 关于加密 310

14.1.1 加密算法简介 310

14.1.2 加密算法作用 312

14.1.3 加密分类 313

14.2 加密数据分类 314

14.3 加密数据保护 315

14.3.1 密码的存储与保护 315

14.3.2 重要信息的保护 323

14.3.3 密钥的管理 336

14.3.4 数据的完整性 339

14.3.5 云系统存储安全 342

14.3.6 数据保护的常犯错误 343

14.4 如何检测加密存储数据的安全性 344

14.4.1 审查加密内容 344

14.4.2 已知答案测试（Known Answer Test）344

14.4.3 自发明加密算法的检测 345

14.4.4 AES加密算法的测试 345

14.4.5 代码审查 346

14.5 如何预防不安全的加密存储的数据347

14.6 OWASP ESAPI与加密存储 348

14.6.1 OWASP ESAPI与随机数 353

14.6.2 OWASP ESAPI 与FIPS

14.7 加密存储检查列表 355

14.8 小结 355

第15章 没有限制的URL访问357

15.1 掩耳盗铃——隐藏（Disable）页面按钮357

15.2 权限认证模型 358

15.2.1 自主型访问控制 360

15.2.2 强制型访问控制 360

15.2.3 基于角色的访问控制 361

15.3 绕过认证 363

15.3.1 网络嗅探 364

15.3.2 默认或者可猜测用户账号 364

15.3.3 直接访问内部URL364

15.3.4 修改参数绕过认证 365

15.3.5 可预测的SessionID365

15.3.6 注入问题 365

15.3.7 CSRF 365

15.3.8 绕过认证小结 366

15.4 绕过授权验证 367

15.4.1 水平越权 368

15.4.2 垂直越权 369

15.5 文件上传与下载373

15.5.1 文件上传 373

15.5.2 文件下载和路径遍历 377

15.6 静态资源 382

15.7 后台组件之间的认证383

15.8 SSO 385

15.9 OWASP ESAPI与授权 386

15.9.1 AccessController的实现387

15.9.2 一个AccessController的代码示例390

15.9.3 我们还需要做些什么 391

15.10 访问控制检查列表 393

15.11 小结 393

第16章 传输层保护不足 395

16.1 卧底的故事——对称加密和非对称加密395

16.2 明文传输问题 396

16.3 有什么危害398

16.3.1 会话劫持 398

16.3.2 中间人攻击 399

16.4 预防措施 399

16.4.1 密钥交换算法 400

16.4.2 对称加密和非对称加密结合 401

16.4.3 SSL/TLS 406

16.5 检查列表 423

16.6 小结 423

第17章 未验证的重定向和转发 425

17.1 三角借贷的故事——转发和重定向425

17.1.1 URL转发425

17.1.2 URL重定向 426

17.1.3 转发与重定向的区别 429

17.1.4 URL 重定向的实现方式 430

17.2 危害 438

17.3 如何检测 439

17.4 如何预防 440

17.4.1 OWASP ESAPI与预防 441

17.5 重定向和转发检查列表 443

17.6 小结 443

第5篇 安全设计、编码十大原则

第18章 安全设计十大原则 448

设计原则1——简单易懂 448

设计原则2——最小特权 448

设计原则3——故障安全化450

设计原则4——保护最薄弱环节451

设计原则5——提供深度防御 452

设计原则6——分隔 453

设计原则7——总体调节 454

设计原则8——默认不信任454

设计原则9——保护隐私 455

设计原则10——公开设计，不要假设隐藏秘密就是安全 455

第19章 安全编码十大原则 457

编码原则1——保持简单 457

编码原则2——验证输入 458

编码原则3——注意编译器告警459

编码原则4——框架和设计要符合安全策略 459

编码原则5——默认拒绝 460

编码原则6——坚持最小权限原则 462

编码原则7——净化发送到其他系统的数据 463

编码原则8——深度预防 464

编码原则9——使用有效的质量保证技术464

编码原则10——采用一个安全编码规范 465

媒体评论

这是一本带点酷酷的工程师范儿和人文气质的“硬货”。作为一名资深IT文艺老人，特别喜欢这种带着思想气息却又有着丰富案例娓娓道来的实用信息安全书，过去却往往只在国外作者中读到。正如书中开头的引子说的那样：“家有IT，如有一宝。”那么在Web安全日益火爆的今天，你会不会在读完这本书后的未来也成为传说中让我们顶礼膜拜的大牛呢^-^

——IDF威慑防御实验室益云（公益互联网）社会创新中心联合创始人万涛@黑客老鹰

伴随互联网的高速发展，基于B/S架构的业务系统对安全要求越来越高，安全从业人员面临空前的压力。如何让安全从业人员快速掌握Web应用安全？本书以诙谐、幽默的语言，精彩、丰富的实例，帮助安全从业人员从端到端理解Web应用安全。不失为近几年Web应用安全书籍的上佳之作。

——OWASP中国区主席SecZone高级安全顾问 RIP

很乐意看到有人将自身的资深安全积累和OWASP的更佳实践出版成书，内容严谨细致却不乏生动。这本信息安全领域的实用手册将成为银基安全致力于互联网安全的参考指导书目之一，我们广泛的电信、银行、保险、证券和部门等客户都会从中受益。

——上海银基信息安全技术有限公司首席技术官胡绍勇（Kurau）

随着安全访问控制策略ACL的普及应用，互联网企业目前面临的安全风险面主要集中在Web服务层。其中Web应用系统在架构设计、开发编码过程中是安全漏洞和风险引入的主要阶段，而普遍地我们的架构、开发、测试岗位在安全技能与意识上恰恰是相对比较欠缺的。本书详细介绍了Web安全基础知识、测试平台与方法，常见漏洞形式与原理，并结合OWASP更佳实践经验给出预防建议、设计和编码原则等。书中举例生动形象，图文代码并茂，步骤归纳清晰。特别推荐给广大Web开发、测试、安全岗位的朋友们。

—— 中国金山软件集团信息安全负责人程冲

在网络攻击愈加复杂，手段日益翻新的今天，Web攻击依然是大多数攻击者首选的入侵手段。反思CSDN泄密及新浪微博蠕虫事件，Web应用的安全突显其重要性。OWASP作为全球领先的Web应用安全研究团队，透过本书将Web应用安全的威胁、防御以及相关的工具进行了详细的探讨和研究。详尽的操作步骤说明是本书的亮点之一，这些详实且图文并茂的内容为逐步深入学习Web应用安全提供了很好的帮助。我衷心希望这本书能够成为信息安全专业的在校生以及应用安全相关从业人员的学习指导书。

— 上海交通大学信息安全工程学院施勇(CISSP CISA)

关于owasp 服务器测试的介绍到此就结束了，不知道你从中找到你需要的信息了吗 ？如果你还想了解更多这方面的信息，记得收藏关注本站。