すべてが自動化できるOWASPトップ10(A1-A10)が不思議です。 Seleniumを使用してテストを自動化することは可能ですか?そうでない場合は、どのツールを使用して自動化することができますか?また、いかなる文書またはガイドライン、または従うことができるか、または参照できる例があります。OWASP A1-A10の自動テスト
ありがとうございます。
すべてが自動化できるOWASPトップ10(A1-A10)が不思議です。 Seleniumを使用してテストを自動化することは可能ですか?そうでない場合は、どのツールを使用して自動化することができますか?また、いかなる文書またはガイドライン、または従うことができるか、または参照できる例があります。OWASP A1-A10の自動テスト
ありがとうございます。
私が言うと思います:
セキュリティの脆弱性を見つけるのは難しいです、時間と労力を削減する方法ではなく、それを交換するよりも、手動テストをやって過ごしたとして、自動化が見られるべきです。 自動テストの利点の1つは、終わり近くまで待ってからペンテスターを入れるのではなく、いつでも(CI/CDの一部として)行うことができるということです。
いずれの場合も、自動化を使用して検出される潜在的な脆弱性が重要です
https://www.owasp.org/index.php/ZAPpingTheTop10をご覧ください。これは、ZAPに焦点を当てています。 オートメーションはZAP(そしてMozillaで使用する主要な方法の1つ)であり、驚くことではありません(私はZAPプロジェクトのリードです)
これを自動化するツールです。
セキュリティに関する十分な経験がないか、またはオートメーションに十分な経験がないことを求めている場合は、
セキュリティを知ることと、効果的な自動化されたシナリオを書くことの両方があります。 あなたができることは、回帰として得られたいくつかの特定のシナリオを自動化することです。
セキュリティ上の理由から、既存のツールを使用して脆弱性+手動テストと分析をスキャンしてください。
結論として、@ psiinonによれば、自動化することができ、自動化されたスキャンが得策ですが、手動で実装するという点では、効率的にこれを行うには多くの努力が必要です良いカバレッジ。
自動化しようとしていることを完全に理解していることを確認し、計画を立て、さらに調査してオプションが何かを確認してください。 また、使用するプログラミング言語に基づいて使用する関連セキュリティライブラリがあるかどうかを確認してください。