是指基于漏洞數(shù)據(jù)庫，通過掃描工具等手段對指定的遠(yuǎn)程或者本地計算機信息系統(tǒng)的安全脆弱性進(jìn)行檢測，發(fā)現(xiàn)可利用漏洞的一種安全檢測的行為，以提升軟件質(zhì)量為目的。

OWASP-TOP10

OWASP是 open web application security project 的縮寫。這個系列主要介紹這十個最多被攻擊的安全漏洞。

1.注入攻擊 （Injection）

2.無效身份認(rèn)證（Broken Authentication）

3.敏感信息泄漏（Sensitive Data Exposure）

4.XML外部處理器漏洞（XML External Entities (XXE)）

5.無效存取控管（Broken Access Control）

6.錯誤設(shè)置安全系統(tǒng)（Security Misconfiguration）

7.跨站攻擊（Cross-Site Scripting (XSS)）

8.不安全的反序列化漏洞（Insecure Deserialization）

9.使用已有漏洞元件（Using Components with Known Vulnerabilities）

10.日志和監(jiān)控不足風(fēng)險（Insufficient Logging and Monitoring）

測試流程

1、    需求評估

提供被測件操作手冊或者訪問地址并提供測試申請表。

2、    簽訂合同

確認(rèn)測試申請表、達(dá)成合作意向、簽訂合同

3、    測試溝通

確認(rèn)測試方案、用例設(shè)計、資源環(huán)境

4、    測試準(zhǔn)備

準(zhǔn)備測試需求環(huán)境、軟硬件資源配置、人員協(xié)調(diào)

5、    執(zhí)行測試

配合測試、缺陷問題提交、測試記錄、回歸測試

6、    報告確認(rèn)

出具報告初稿、修改報告、確認(rèn)報告

7、    交付

完成付款、交付正式報告