Существует ли инструмент аудита безопасности веб-приложений, который создает отчеты, показывающие, какие типы атак были протестированы?

Я хочу создать базовый отчет о тестировании, я хотел бы, чтобы тестирование охватывало 10 лучших OWASP. Я просмотрел отчет OWASP ZAP, но он просто выделяет любые проблемы, а не говорит, что XY и Z были протестированы без доказательств их наличия. происходит вместе с подробным описанием обнаруженных проблем.

Это не вопрос о том, как тестировать веб-приложение. Вопрос в следующем: существуют ли какие-либо инструменты, которые будут генерировать отчеты с указанием того, что было протестировано, а также уязвимостей?


security security-testing
person Damien    schedule 06.02.2013    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Вы можете увидеть, что тестирует ZAP, выбрав Analyse... / Scan Policy

Мы также начинаем документировать правила здесь https://code.google.com/p/zap-extensions/wiki/V2Extensions (посмотрите на элементы под деревом слева).

Обратите внимание, что ни один инструмент не сможет автоматически протестировать все из десяти лучших OWASP — вам действительно нужно будет выполнить ручное тестирование.

Отчет ZAP нуждается в улучшении, и я хотел бы, чтобы он включал список того, что было протестировано, а также то, что было найдено. ZAP — это общественный проект. Хотите поработать над этим? ;)

Саймон (руководитель проекта ZAP)

person Simon Bennetts    schedule 07.02.2013
comment
Спасибо за ответ. Я выполняю ручное тестирование. Я просто искал отчет, который я мог бы использовать, поскольку это своего рода то, что мы тестировали, прошло и не удалось. Я ценю работу, которую вы, ребята, делаете, и использую ZAP для фактического тестирования. - person Damien; 08.02.2013