OWASP WSTG
OWASP WSTG 是什么?
OWASP WSTGOWASP Web 安全测试指南,内容详尽的开源手册,描述如何针对最常见的 Web 应用安全弱点进行测试。
OWASP Web Security Testing Guide(WSTG)是由社区维护的开源手册,记录了 Web 应用渗透测试与安全评估的技术和测试用例。4.2 版按照信息收集、配置管理、身份管理、认证、授权、会话管理、输入验证、错误处理、加密、业务逻辑、客户端和 API 测试等章节组织,每个测试用例都有详细编号(如 WSTG-AUTHN-01),并描述目标、操作步骤和参考资料。WSTG 是许多渗透测试方法、RFP 测试要求以及与 ASVS、Top 10 配合的学习资料的基础。
● 示例
- 01
渗透测试报告将每个发现关联到对应的 WSTG-INPV(输入验证)测试编号。
- 02
新组建的应用安全团队使用 WSTG 检查表培训渗透测试人员并统一方法论。
● 常见问题
OWASP WSTG 是什么?
OWASP Web 安全测试指南,内容详尽的开源手册,描述如何针对最常见的 Web 应用安全弱点进行测试。 它属于网络安全的 合规与框架 分类。
OWASP WSTG 是什么意思?
OWASP Web 安全测试指南,内容详尽的开源手册,描述如何针对最常见的 Web 应用安全弱点进行测试。
OWASP WSTG 是如何工作的?
OWASP Web Security Testing Guide(WSTG)是由社区维护的开源手册,记录了 Web 应用渗透测试与安全评估的技术和测试用例。4.2 版按照信息收集、配置管理、身份管理、认证、授权、会话管理、输入验证、错误处理、加密、业务逻辑、客户端和 API 测试等章节组织,每个测试用例都有详细编号(如 WSTG-AUTHN-01),并描述目标、操作步骤和参考资料。WSTG 是许多渗透测试方法、RFP 测试要求以及与 ASVS、Top 10 配合的学习资料的基础。
如何防御 OWASP WSTG?
针对 OWASP WSTG 的防御通常结合技术控制与运营实践,详见上方完整定义。
OWASP WSTG 还有哪些其他名称?
常见的别称包括: Web 安全测试指南, WSTG。
● 相关术语
- compliance№ 775
OWASP ASVS
OWASP 应用安全验证标准,提供一套可测试的安全需求清单,用于设计、构建并验证 Web 应用与 API。
- compliance№ 781
OWASP Top 10
OWASP 发布的安全意识文件,列出 Web 应用最关键的安全风险,基于真实漏洞数据定期更新。
- compliance№ 783
OWASP ZAP
Zed Attack Proxy,源自 OWASP、目前由 Checkmarx 与 ZAP 社区共同维护的开源 Web 应用安全测试工具。
- appsec№ 273
DAST(动态应用安全测试)
对运行中的应用进行黑盒安全测试,通过网络发送请求并观察响应,以发现仅在运行时才暴露的注入、认证缺陷与配置问题。
- compliance№ 204
合规
通过文档化控制、证据收集和持续评估,满足法律、监管、合同及内部安全要求的实践。
● 参见
- № 778OWASP MASVS