網站資訊安全測試計畫與測試個案範本
這篇文章主要介紹 OWASP (Open Web Application Security Project) 這個非營利的國際組織,
所制訂提供的一個網站資訊安全測試範本。(Application Security Verification Standard),
這個測試計畫範本提供16大類的網站資訊安全測試個案。
同時,每一大類的測試個案中又細分為三個層次 (安全->中度安全=>高度安全)。
運用這個測試個案,就可以依據資訊安全的需求,安排執行相關的資訊安全測試。
資訊安全測試計畫下載
- https://www.owasp.org/images/5/58/OWASP_ASVS_Version_2.pdf
- https://www.owasp.org/images/a/a9/OWASP_ASVS_Version_2.docx
- https://www.owasp.org/images/5/50/Asvs_v2_items.xlsx
16大類測試個案
這個測試計畫中提供 16大類的測試個案。可參考ASVS這份文件範本的目錄 P16~P36。
專案實務應用上,可以根據這份文件為基礎,延伸或是修改適合團隊的資訊安全測試計畫。
Authentication 測試個案
每一大類的測試個案,又細分為三個層次 Level 1 安全 => Level 2中度安全 => Level 3極高安全
當然,對於及高安全的需求,取捨就是所投入的研發與測試的時間。
通常在金融交易相關而且是跟授權驗證有關的功能時,就會需要比較高的安全層級。
對於 Authentication 來說,就可以依據這些測試個案進行測試。
整個測試完畢之後,至少可以對於該網站的資訊安全風險有一定程度的掌握。
所以當專案需要執行一定程度的資訊安全測試時,不防可以參考這個測試計畫與個案範本,並且修改為合適自己專案的測試計畫。
舉例來說,Authentication 的資訊安全驗證,依據資訊安全等級的需求分為 1低, 2中, 3高安全。
中高需求還會額外要求認證相關的服務與儲存媒體都需要相對應的加密。