NO.3 OWASP——感覺看完整本就能當WEB安全測試工程師了呢

OWASP

在學習使用AppScan的過程中導師扔給我一本OWASP測試指南。壓根不知道什麼是OWASP的我迅速的去百度了一下：OWASP，Open Web Application Security Project。怎麼說呢，一個技術組織？一個公益技術項目？一個論壇？總之它集成了無數安全測試人員技術的精華，形成了一套值得信賴的WEB安全測試框架並且免費提供給大眾使用。我拿到的是三百多頁的中文版本，在完成了對內部網站的掃描工作之後空閑的時間就翻一翻這本測試指南。

指南分為幾章，其中內容最多的也是最重要的是OWASP測試框架和WEB應用滲透。其實我甚至並沒有來得及看到WEB應用滲透的內容就開始做下一個任務了，但是對前幾章包括對OWASP測試框架的介紹的閱讀也讓我學到了不少東西。

導師社交軟體簽名掛的一直是：Security is a progress,not a product.第一眼看到並沒有理解是什麼意思，只是覺得：屌屌的樣子。之後在這本測試指南開頭我就看到了這句話，隨著之後的閱讀慢慢理解了為什麼說安全是一個過程，而不是一個產品。一個企業，或者說無論一個什麼組織或者個體要想做到信息安全是一個漫長的過程，甚至應該從它剛剛建立的第一天就開始建設信息安全體系。而不是在日後可以通過某一個安全產品就能實現信息的絕對安全，以及安全是一種狀態，它需要安全人員不停的去維護。而不是像一個產品一樣，開發完成之後就可以放手不管了。其實就好像檢驗學生在學習是否學到了東西，其實真正的方法是看學生從學習這門課的第一天開始的學習狀態，比如有沒有做筆記，有沒有找老師答疑，和最後考試的分數，以及在考試結束之後知識有沒有留在學生的腦子裡。而並不是只看一場考試的分數來決定是否學到了東西。畢竟考試前三天突擊也可以通過考試，但是走出考場之後所有知識都從腦中逃走一點不剩這種事情在我身上也是發生過很多次。

OWASP的安全測試框架就是對如何從第一天就開始進行安全測試直到最後一天做了一個可行的技術指導。

第一階段 開發開始前進行測試

第二階段 定義和設計過程中進行測試

第三階段 開發過程中進行測試

第四階段 發展過程中進行測試

第五階段 維護和運行

這也讓我對安全人員在產品開發中起到的作用有了新的理解。之前的理解是，安全人員需要在開發人員把大樓蓋好之後再去檢查樓蓋的安不安全，哪裡有漏洞，告知開發人員並幫助其修改。

而實際上安全人員需要做的是從大樓的設計階段，或者說概念階段就應該參與其中幫助設計開發人員去保證大樓的安全。比方說公司提出一個概念，想要建立一個A軟體，那麼開發人員從概念開始就應該去幫助做安全評估，A軟體的存在是否有天然的安全隱患。還是建築來舉例吧，如果公司想要在一片土地不適合蓋樓的地方施工，那麼安全人員就應該告知公司這一點，換個地方。之後，設計的結構安不安全，用的材料安不安全，施工的人員安不安全，這些都需要安全人員的參與。整個從概念，到完成，到後期運維。完成整個過程，才能說做到了信息安全人員該做的事情。

一些吐槽：

然而在實際的實施過程中會遇到許多困難，有來自外部的，也有很多是來自內部的。大佬想在哪裡蓋樓就在哪裡蓋樓，聽經濟學家說在這裡蓋樓升值最高，賺的最多。設計人員在這裡就要這麼設計功能最完善。開發人員就要這麼開發，保證功能可以運行就得了。所以安全部門如果沒有被賦予安全大於一切的權力是很難進行工作的吧。公司內部其實還是業務是老大，一切為業務服務。

事實上安全部門所面對的其實經常是一棟已經蓋好的大樓，然後說：喏 你幫我們做個安全測試吧。呃 這個漏洞涉及到底層了，太難改，不改了。你跟我們說哪裡好改以及怎麼改，我們改改。不改的話絕對會出問題嗎？那倒不是。改的話絕對不會出問題嗎？也不是。那改個雞毛。微笑。

好了午休結束我要繼續去學NMAP了。。。

Engineering For The Win.

推薦閱讀：