问OWASP A1-A10的自动化测试

EN

我想说：

1. 注入:自动化非常有效。
2. Auth / Session mgmt:工具帮助，但真正需要手动测试
3. XSS:自动化非常有效
4. IDOR:工具帮助，但真正需要手动测试
5. Sec错误配置:同上
6. 数据公开:可以通过手动验证实现一定程度的自动化。
7. 缺少AC:元素可以自动化，但是def需要大量的人工参与
8. CSRF:自动化是非常有效的
9. 与秃鹫比较:自动化可能是有效的，但你需要静态+动态扫描
10. Fwds和redir:自动化非常有效

找到安全漏洞是很困难的，自动化应该被看作是减少手工测试而不是替换它的时间和精力的一种方法。自动测试的优点之一是，您可以在任何时间(如作为CI/CD的一部分)，而不是等待到接近尾声，使戊酯进入。

在所有情况下，手动验证使用自动化发现的任何潜在漏洞都很重要。

看看https://www.owasp.org/index.php/ZAPpingTheTop10，它关注的是扎普。自动化绝对是ZAP关注的焦点(也是我们在Mozilla中使用它的关键方法之一)，这并不奇怪，我建议使用它(我是ZAP项目的负责人)；

有很多工具可以自动完成这个任务。

如果你问这个问题，你要么没有足够的安全经验，要么你没有足够的自动化经验。

了解安全性是一回事，而编写一些有效的自动化场景则是另一回事。您可以做的是自动化一些特定的场景作为回归结果。

为安全起见，请使用现有工具扫描漏洞+手动测试和分析。

结论是:是的，正如@psiinon所说，您可以自动化，最好是进行自动扫描，但就手动实现而言，这需要付出很大的努力才能以一种高效的方式实现，并且覆盖范围很好。

确保你完全理解你想要自动化的东西，制定一个计划，并进一步调查，看看有哪些选择。还可以根据使用的编程语言检查是否有任何相关的安全库可供使用。