33、网页应用程序安全测试全解析

网页应用程序安全测试全解析

1. 前期关键测试与维护流程

在网页应用程序投入生产或上线之前，配置管理测试是必不可少的。这有助于确保在应用程序推出之前，检测并纠正任何与配置相关的漏洞。

在应用程序的维护阶段，有两个重要的环节需要关注：
- 变更管理与验证 ：变更管理是项目中确保变更以可见、可控和有序方式实施的一套完整流程。其目的是保证从变更发起、部署到监控的整个过程都能有序进行。在应用程序开发过程中，任何变更都应先进行讨论、批准，然后再实施。在部署阶段，变更管理包括补丁管理、配置更改、操作系统或其他平台资源的升级等。变更需先以“变更请求”的形式提出，请求方要解释变更原因，该请求由跨职能的主管（如 IT 主管、信息安全官和/或数据所有者）批准。变更会先在暂存环境中进行测试，观察其对生产环境数据的影响，只有测试结果为正，变更才会推出。同时，还制定了变更请求回滚的程序，以防变更对系统产生不利影响。
- 定期健康检查 ：应用程序部署后，仍需进行持续的测试、检查和评估。健康检查结合了配置管理测试、定期漏洞评估和渗透测试活动，以确保应用程序不会因时间推移（平台元素的某些漏洞被利用）或非安全配置而受到各种威胁。其目标是识别并纠正这种情况下的任何异常。

2. 威胁模型助力安全测试

威胁模型对于网页应用程序的安全测试非常有益。它是一种详细的场景，描述了特定威胁如何识别和利用给定的漏洞或一组漏洞来破坏应用程序并获取敏感信息资产。威胁模型可用于理解各种威胁源及其对敏感信息资产的访问点，进而推导出网页应用程序的安全要求。在安全测试中，威胁模型也具有重要价值，安全测试人员可以利用它来设计安