其实软件测试漏洞测试OWASP(开放Web应用程序安全项目)的问题并不复杂,但是又很多的朋友都不太了解,因此呢,今天小编就来为大家分享软件测试漏洞测试OWASP(开放Web应用程序安全项目)的一些知识,希望可以帮助到大家,下面我们一起来看看这个问题的分析吧!
1. 工具简介
Dependency-Check 是OWASP(开放Web 应用程序安全项目)的实用开源程序,用于识别项目依赖性并检查是否存在任何已知的、公开披露的漏洞。目前,它支持Java、NET、Ruby、Node.js、Python 等语言编写的程序,并对C/C++ 构建系统(autoconf 和cmake)提供有限支持。而且该工具也是OWASP Top 10 解决方案(A9-使用具有已知漏洞的组件)的一部分。
Dependency-Check支持广泛(支持多种语言),可集成性强。作为一个开源工具,多年来它支持与许多主流软件集成,例如:命令行、Ant、Maven、Gradle、Jenkins、Sonar 等;具有使用方便、实现简单的优点。
2. 扫描原理
依赖性检查可用于扫描应用程序(及其依赖库)。在执行检查时,会将通用平台枚举(CPE)国家漏洞数据库和NPM Public Advisories库下载到本地,然后通过一系列核心引擎分析器检查项目依赖关系,收集依赖关系信息,然后进行比较收集到的依赖信息与本地CPENPM 库数据。如果检查发现扫描的组件存在已知易受攻击的漏洞,则对其进行识别并最终生成显示报告。
官网文档:https://jeremylong.github.io/DependencyCheck/index.html
3. 主要特点
根据项目中的依赖库,收集依赖版本、厂商等信息,然后匹配NVD漏洞库,并对比其中的CPE,判断该版本的依赖包是否存在漏洞。
主要用于检查java项目的依赖关系,但对js、c/c++、python也有一定的检查能力。
支持多种使用方式,每种方式各有利弊。无论是jar包、目录还是压缩文件,都能自动识别
首次扫描时需要等待较长时间。由于Dependency Check需要从NVD下载数据库,因此可能需要十甚至二十分钟。
此后,只要两次扫描的间隔不超过7天,就只需要维护一个小的xml列表,每次启动扫描时都会自动更新该列表,只需要一分钟左右。
4. 安装使用
https://github.com/jeremylong/DependencyCheck
下载安装包https://bintray.com/jeremy-long/owasp/dependency-check
解压后,进入bin目录
开始扫描(第一次扫描会自动下载cve漏洞列表,下载完成后自动开始扫描,Analysis Complete表示扫描完成)
–project 项目名称–scan 扫描文件名–out 报告输出地址dependency-check.bat –project test –scan test.war –out .
扫描结果
扫描完成(Analysis Complete)后,报告文件存放在–out配置目录下,同时会生成dependency-check-report.html文件。
5. 报告查看
原创文章,作者:小su,如若转载,请注明出处:https://www.sudun.com/ask/144761.html
用户评论
歆久
这个漏洞测试 OWASP 的框架简直太棒了!作为一名开发者,我一直想学习更有效的方法来巩固我的安全意识。这个项目提供了非常清晰易懂的指南和工具,让我可以快速掌握不同类型的Web应用程序漏洞和相应的防御措施。
有15位网友表示赞同!
繁华若梦
一直在听别人说 OWASP 很厉害,就是没时间好好深入了解。看了这篇文章突然感觉自己真的应该花点时间学习,这些常见的漏洞确实让人头疼!
有19位网友表示赞同!
她的风骚姿势我学不来
OWASP 的这份清单真是太有价值了!它帮助我更好地理解了常见的Web应用程序安全隐患,也能让我在开发过程中更加注重细节和安全性.
有14位网友表示赞同!
搞搞嗎妹妹
对于入门者来说,学习 OWASP 可能会有些难度。我希望以后能看到更多针对初学者更容易理解的教程或课程。
有14位网友表示赞同!
相知相惜
漏洞测试是软件开发中不可或缺的一部分。感谢作者分享这个优秀框架,帮助我们提升代码安全性!
有5位网友表示赞同!
一尾流莺
虽然 OWASP 的指南很全面,但我觉得每个项目的安全需求都不一样,需要根据实际情况进行调整和定制化操作。单纯依赖框架可能并不理想。
有6位网友表示赞同!
浮殇年华
我一直觉得软件测试中的漏洞测试是最重要的一环,它能帮助我们发现安全隐患并及时修复,避免潜在的风险。
有17位网友表示赞同!
景忧丶枫涩帘淞幕雨
这种文章应该更有针对性、更深层地探讨 OWASP中各个漏洞类型的具体应用场景和应对方法,而不是简单地列举各种类型的漏洞。
有13位网友表示赞同!
敬情
很感谢作者的分享!这篇文章让我对 OWASP 有了一个初步的了解,并且激发了我的学习兴趣。
有12位网友表示赞同!
丢了爱情i
作为一名已经从事软件测试多年的工程师,我认为 OWASP 对我们来说非常有价值。它不仅提供了一套全面的安全标准和指南,还能帮助我们不断提升专业技能。
有8位网友表示赞同!
糖果控
文章写的不错,内容涵盖了 OWASP 的主要原则和内容,非常适合初学者入门学习。
有12位网友表示赞同!
幸好是你
希望能看到更多关于 OWASP 最新发布信息和更新版本的介绍,比如最新的漏洞类型和防御建议等。
有6位网友表示赞同!
最怕挣扎
这个框架简直是软件开发人员的必备工具!它能帮助我们构建更安全、更可靠的 Web 应用程序。
有7位网友表示赞同!
毒舌妖后
虽然 OWASP 的指南很详细,但学习和应用这些知识需要时间和实践。我觉得作者可以分享一些具体的案例和实战经验更为实用
有8位网友表示赞同!
苏莫晨
OWASP 真是一个伟大的项目!它帮助我们共同维护网络安全,创建一个更加安全的互联网环境。
有7位网友表示赞同!
墨城烟柳
希望能看到更多针对不同技术栈和编程语言的 OWASP 学习资源,例如.Net、Python、Java 等.
有13位网友表示赞同!
岁岁年年
软件测试不仅需要关注功能性,更应该注重安全性。OWASP 的框架为我们提供了非常有价值的指导和帮助。
有15位网友表示赞同!