在暂存环境中进行安全测试。SOAPUI作为测试工具是否足够？

Question

目前，我正在从事一个项目，在该项目中，我应该将以下方面定义为测试经理：

• 测试阶段环境渗透测试的概念
• 规划REST开发的安全指南
• 通过SOAPUI使用REST扫描(创建安全测试用例)

因此，我在准备环境中的规划包括功能测试过程、集成测试以及RESTAPI级别的测试过程。然而，我还不确定仅仅是关于SOAPUI解决方案的纯安全测试是否足以获得高安全性覆盖。

因此，除了RestAPI级别之外，我还计划在测试环境中使用更特殊的工具:将W3af或Vooki集成到暂存环境中。

问题:通过SOAPUI的安全测试驱动器足够了吗？我应该在生产阶段(生产前)和生产中使用不同的工具吗？我是否应该在准备环境中使用另一个工具来测试安全性测试？

Answer 1

SOAPUI是执行DAST (动态应用程序安全测试)的一个很好的工具。另一个很好的开源工具是OWASP。还有一堆商业广告。

它不是您正在测试的工具，而是它对您的应用程序运行的网络攻击有效载荷。如果两个工具具有相同的web攻击有效载荷，则不需要使用另一个工具。

您还可以进行一些测试，比如SAST (静态应用程序安全测试)，它在部署前分析源代码中的漏洞，或者SCA (软件组合分析)，后者将检查您正在使用的第三方依赖项中的漏洞。