自動セキュリティテストはJavaにありますか?もしそうなら、どのように実装されていますか?既知のサーバの脆弱性を悪用しようとしたJUnitテストだけであるか、セキュリティ中心のテストフレームワークですか?Javaセキュリティテスト
私はこのOWASP Security Testing Frameworkにも興味がありますが、彼らが古典的な意味で「フレームワーク」を使用しているかどうかを知ることはできません。 (自動セキュリティテストコンポーネントを実際に提供している)ソフトウェアコンテキスト。
私のためにこれにいくつかの光を当てることができるすべてのおかげで!
正確にはわかりませんが、junit:Stephen Colebourne's blog: Testing a security permissionでセキュリティ権限をテストする方法については、Stephen Colebourneのブログ記事(joda-timeと将来の新しい標準java8 date-time APIの著者)があります。
ファズテストが痛いことはありません:http://www.ibm.com/developerworks/java/library/j-fuzztest/index.html
ファズ・テストは、あなたのアプリケーションがユーザー入力のためのあらゆる機会に対して安全であることを確認してください役立ちます。
ファジーテストは、「ランダム」なので、ある意味ではJUnitテストでは少し厄介です。テストスイート内の各入力手段にいくつかのファズテストをループして実行することができます。 SonarとFindBugsなどの
ツールも(FindBugsのは、SQLインジェクションなどのリスクを見つけることで非常に効果的である)、少なくともいくつかのセキュリティ問題を見つけるための自動化された方法することができます。
セキュリティスキャンを行うVeraCodeなどの商用ツールがあります。私は彼らのために働いていないが、私の会社はそれを使っている。それはかなり徹底しているようです。
自動セキュリティテストはハードですが、それはその価値がないというわけではありません。
Webアプリケーションの提案 - 既存のユニットテストと統合テスト(Seleniumなど)を使用し、OWASP ZAP(Zed Attack Proxy)などのセキュリティツールを使用してプロキシをプロキシする。 詳細については、http://code.google.com/p/zaproxy/wiki/SecRegTestsを参照してください。
Simon(ZAP Project Lead)
はい、Zed Attack Proxy(ZAP)は侵入テストに適しています –
こんにちはIvan、ありがとう、私はその記事をチェックアウトします。その間に、私が探しているのはこれに対する答えです:JUnitを使ってセキュリティテストを書くのですか、(特に)セキュリティ問題をターゲットとする別のフレームワークがありますか?もしそうなら、そのうちの1つはOWASPですか? – IAmYourFaja