如何了解安全性或渗透测试覆盖率

Question

有人知道如何理解安全性或渗透测试覆盖范围吗？

我发现传统的功能测试复盖度量方法对安全测试并不是很有用。因为对于安全测试，实际上，你不需要覆盖每个逻辑分支。如果你涵盖了所有的URL和参数，基本上你已经涵盖了所有的东西。

有什么想法吗？

谢谢。

Answer 1

web应用程序安全评估的一个可能的衡量标准是测试的问题范围。至少，应该测试OWASP前10个问题，但高质量的评估将正确地评估业务逻辑和特定于应用程序的问题。此外，测试人员应该了解web应用程序使用的任何特定技术(例如Adobe Flash、Google Gears)。

渗透测试是一项专业的活动，因此请一家值得信赖和受人尊敬的公司来执行测试。在英国，CHECK计划备受推崇，认证公司的名单可以在这里找到：http://www.crest-approved.org/member_companies.php

全面披露:我在Verizon Business工作，提供渗透测试服务。