问如何估计Web应用程序安全测试所需的时间？

EN

您不能提供证据证明漏洞评估需要花费n天的时间。你可以给他们一个估计。

当我对一个应用程序进行测试时，我会看到一些东西。大部分都是你已经报道过的。

• 应用程序做什么(处理金钱或人力资源数据，或为博客服务)
• 应用程序有多大(几个URL/页面或很多；只是内容，或许多功能)
• 应用程序有多复杂(大小和复杂性并不总是一回事)
• 涉及多少个角色(如用户、管理员、超级管理员)
• 任何涉及的API(如REST、SOAP、定制)
• 涉及多个客户端(如移动、厚客户端和web)

就像任何事情一样，要能够准确地确定测试项目的范围，需要经验。您将考虑到类似大小和复杂性的应用程序需要多长时间进行测试，并适当地进行范围测试。根据你在哪里工作，可能有一个公式，x时间花在不同类型的功能和其他因素，这取决于你的雇主。

如果你有选择的话，我建议听你的团队中更有经验的人做范围界定，这样你就可以理解他们是如何做的，以及他们为什么做出了决定。客户端的范围过低或范围过大可能会导致您的一个或两个问题。如果你的范围不够，你或你团队中的人可能没有足够的时间来完成测试，而过度的范围可能会导致客户不必要地花钱。当然，错误是会发生的，这是学习过程的一部分，但重要的是要理解为什么事情的范围是像它们的范围一样，然后在没有经验支持的情况下跳进去。

我想补充一下我对此的看法。假设您有一个应用程序需要测试(我这里不包括厚客户端，因为它是纯web应用程序)。估计可能依赖的条件是：

可观项目

• 可通过Burp's Spider获取的URL数量
• 可以通过Burp的参与工具获取的参数数
• 如果没有指向相同的主应用程序资源的vhost数量
• 包含在作用域中的Web或API的存在
  1. 在这里，您可以通过问卷调查的方式获取API
  2. 映射web服务参数(REST或SOAP)
  3. 将所有这些添加到Web服务(sum)的指针中

估计

答案中前面讨论过的复杂性和大小可以通过访问vhost来确定，即动态URL的数量(动态只意味着应用程序在数据层与后端对话)。考虑使用测试用例，就像我在之前的一项研究中为下面的客户机所做的那样(这是私有的，可以在那里定义自己的)：

如果您不知道并且几乎需要估计时间线交付，那么对每个提交和测试用例模块使用Gnatt图表，即定期定义模块，如“输入验证安全测试用例”、“会话管理安全测试用例”等。查看下面的时间线必须绝对了解如何估计正确的企业交付计划：

但在所有这些之前，最重要的是为项目规划者绘制路线图，并在工作表中描述所需的测试用例，这样客户端就可以浏览需求文档并提供相应的提交，以便为您确定适当的时间表安排；这可以通过以下几种方式之一实现：

1. 映射需求，如果白色框，什么是凭据要求，等等？
2. 填补空白，在提交之前检查应用程序，还需要哪些细节？
3. 对上述结论进行总结，得出结论。
4. 添加比原来更多的天数，这样你才能保证质量。

项目规划师可能看起来像这样，这可能是规划web应用程序安全项目阶段的一个不可或缺的需求，也可以帮助您为项目定义时间表：

再一次的估计是副产品，也不一定你不会面对任何范围的蠕变，项目的时间延迟，项目的资源，等等，在项目之间(这就是为什么额外的日期后，你映射的时间表)。现在，剩下的是指出项目的关键路径和断点，例如，可能出错的地方和范围，等等。您需要非常好地管理这个问题，并预先定义所有的内容。祝你好运！我希望你能找到有用的信息。