ソース:
What Is the OWASP Testing Methodology?
このテストモデルは以下の構成要素からなります
・テスター:テスト行為を行うもの
・ツールと方法論:テスティングガイドプロジェクの核
・アプリケーション:テストするブラックボックス
テストはパッシブとアクティブに分類され。
①パッシブテスティング
テスターはアプリケーションのロジックを理解しようとし、ユーザーとしてアプリケーションを調査します。
ツールは情報収集に使用されます。
例えば、HTTPプロキシは全てのHTTPリクエストを監視するのに使用され。
最終的には、テスターは通常、すべてのアクセスポイントとその機能を理解する必要があり。
(例えば、HTTPヘッダー、パラメーター、Cookie、API、テクノロジーの使用パターンなど)
②アクティブテスティング
アクティブテスティングでは、テスターは以下のセクションにおいて方法論を使用し。
アクティブテストは12のカテゴリーに分けられ。
Information Gathering
Configuration and Deployment Management Testing
Identity Management Testing
Authentication Testing
Authorization Testing
Session Management Testing
Input Validation Testing
Error Handling
Cryptography
Business Logic Testing
Client-side Testing
API Testing
それぞれについて、以降みていこうと思います。
ほなほな。