【IT168 资讯】以“互联网安全新思维”为主题的OWASP2011亚洲峰会在11月8日-9日成功举办。本届大会以“网络安全产品测评”、“OWASP应用安全技术”“业务安全发展新思路”“云安全”等多个角度展开深入的讨论。如何利用OWASP项目解决应用安全问题呢?OWASP董事会代表Seba向大家介绍了OWASP网络测试环境(WTE)。
▲OWASP董事会代表Seba演讲
Seba首先介绍到,WTE的领导人是Matt,他有很多的经验,他现在还是OWASP基金会的成员。大家可以自由加入OWASP来支援这个项目。由于Matt在应用领域方面的经验,所以他是很适合的人选,开始是很简单的电子邮件作为开始,由于它的介入这是他第一个项目发布。
这是OWASP的发布记录,最新01年9月份在美国发布的,自从他发布以来一年两次,最早的发布中只有ISO、影像,问题是每一个新的发布,你必须下载很大的文件,简单介绍一下项目成功方面。09年的时候,我们统计了下载数量,Matt曾经要求过让这个网站提供无限带宽下载,至少我们现在没有收到任何通知关于这个问题。这个项目已不再仅仅是一个LiveCD,还包括VMW等等。对OWASP目标的补充使得应用安全更加显要。
这个项目的目的是使应用安全的共聚合文档易于得到并易使用,设计目标是方便用户得到更新,使项目带头人得到更新,使项目易于产生Release,重点在于应用安全—不是渗透测试。
什么是WTE呢?WTE是什么样的东西?这是OWASP WTE开始的样子,OWASP WTE最大的好处下载以后它的菜单很直观,如果你下载不同的工具,它自动产生菜单,它的魅力在此,你下载什么工具,菜单是什么样的。大概有29个很常用的工具。我们有Web scarab,所有协议的副本,很遗憾的是没有更多的参与,但是它很值得研究。我建议你可以用 ZAP , ZAP用户容易友好,而且很容易使用。WebGoat是一个教育的工具,如果你想测一测你的能力,你可以试一试WebGoat,有很多挑战性,可以试一试。还有其他很多工具,我不想详细介绍。在我演讲的每一个笔记上面介绍了它的用途。在Live CD不光有OWASP WTE工具,还有很多非OWASP WTE工具,比如说扫描工具,可以扫描一个网站的数据,研究一个应用,还有一个工具模拟SQL注入,自动的模拟,还有Firefox,还有很多基于网络的工具。
为什么不同呢?这是一个例子列举了FireFox上面的内容,如果你自己去加就会很麻烦,这个工具帮你加了这么多,下载本身包括了这些,刚下载以后并不是每都个都激活,你可以根据你的需要单独激活。有很多的东西,比如说ADD N Edit转换器。你可以根据你测试的需要,选择不同的。
还有一个比较好玩的关于协议,下载以后自动包括很多不同的当地协议,你不用自己设置这些东西,你只要在选项里头选你需要的本地协议就开始用它,比如说这里怎么选择本地协议,配置文件非常容易使用。下面这些协议很有趣,如果你们有时间的话,你可以根据OWASP的文本寻找你所需要的东西,包括安全编码指南、开放源代码的文档,WTE包括很多很多东西,非常非常有用。里头还有稳定库,你可以看到不同的文件,你可以看到不同版本。这个网站在哪儿呢?你可以从谷歌网站很容易查到。
下一步是什么?计划是这样的,Live CD的名字虽然已经过时了,但是它本身还没有,目标不是把所有放在一张CD上,毕竟CD现在很有限,因为工具越来越多。你的目的是要产生DVD和产生VM的包装,如果你是一个测试员,你不想下载别的,你可以专门下载测试包装。还有一个WebGoat开发员的版本,包括Webgoat源代码这些东西帮助你更改。Wubi是我们关注另外一个项目,可以让你同时启动windows和lunix而不需要改变任何硬盘分区。
还有其他一些OWASP教育项目的联系,包括面向大学应用的版本,在每一堂课不用花一个小时或者两个设置环境了,直接可以用了。WTE的目的主要是让破坏者变成建造者。WTE在云中的使用,AppSec Usa为2011年9月,Matt演示了如何在云环境里安装WTE。
相关链接:
OWASP2011演讲PPT下载专辑http://topic.it168.com/factory/owasp_2011/index.html
OWASP2011专题报道http://safe.it168.com/topic/2011/11-7/OWASP2011/index.html