【IT168 资讯】以“互联网安全新思维”为主题的OWASP2011亚洲峰会在11月8日-9日成功举办。本届大会以“网络安全产品测评”、“OWASP应用安全技术”“业务安全发展新思路”“云安全”等多个角度展开深入的讨论。如何利用OWASP项目解决应用安全问题呢？OWASP董事会代表Seba向大家介绍了OWASP网络测试环境（WTE）。

▲OWASP董事会代表Seba演讲

　　Seba首先介绍到，WTE的领导人是Matt，他有很多的经验，他现在还是OWASP基金会的成员。大家可以自由加入OWASP来支援这个项目。由于Matt在应用领域方面的经验，所以他是很适合的人选，开始是很简单的电子邮件作为开始，由于它的介入这是他第一个项目发布。

　　这是OWASP的发布记录，最新01年9月份在美国发布的，自从他发布以来一年两次，最早的发布中只有ISO、影像，问题是每一个新的发布，你必须下载很大的文件，简单介绍一下项目成功方面。09年的时候，我们统计了下载数量，Matt曾经要求过让这个网站提供无限带宽下载，至少我们现在没有收到任何通知关于这个问题。这个项目已不再仅仅是一个LiveCD，还包括VMW等等。对OWASP目标的补充使得应用安全更加显要。

　　这个项目的目的是使应用安全的共聚合文档易于得到并易使用，设计目标是方便用户得到更新，使项目带头人得到更新，使项目易于产生Release，重点在于应用安全—不是渗透测试。

　　什么是WTE呢?WTE是什么样的东西?这是OWASP WTE开始的样子，OWASP WTE最大的好处下载以后它的菜单很直观，如果你下载不同的工具，它自动产生菜单，它的魅力在此，你下载什么工具，菜单是什么样的。大概有29个很常用的工具。我们有Web scarab，所有协议的副本，很遗憾的是没有更多的参与，但是它很值得研究。我建议你可以用 ZAP ， ZAP用户容易友好，而且很容易使用。WebGoat是一个教育的工具，如果你想测一测你的能力，你可以试一试WebGoat，有很多挑战性，可以试一试。还有其他很多工具，我不想详细介绍。在我演讲的每一个笔记上面介绍了它的用途。在Live CD不光有OWASP WTE工具，还有很多非OWASP WTE工具，比如说扫描工具，可以扫描一个网站的数据，研究一个应用，还有一个工具模拟SQL注入，自动的模拟，还有Firefox，还有很多基于网络的工具。

　　为什么不同呢?这是一个例子列举了FireFox上面的内容，如果你自己去加就会很麻烦，这个工具帮你加了这么多，下载本身包括了这些，刚下载以后并不是每都个都激活，你可以根据你的需要单独激活。有很多的东西，比如说ADD N Edit转换器。你可以根据你测试的需要，选择不同的。

　　还有一个比较好玩的关于协议，下载以后自动包括很多不同的当地协议，你不用自己设置这些东西，你只要在选项里头选你需要的本地协议就开始用它，比如说这里怎么选择本地协议，配置文件非常容易使用。下面这些协议很有趣，如果你们有时间的话，你可以根据OWASP的文本寻找你所需要的东西，包括安全编码指南、开放源代码的文档，WTE包括很多很多东西，非常非常有用。里头还有稳定库，你可以看到不同的文件，你可以看到不同版本。这个网站在哪儿呢?你可以从谷歌网站很容易查到。

　　下一步是什么?计划是这样的，Live CD的名字虽然已经过时了，但是它本身还没有，目标不是把所有放在一张CD上，毕竟CD现在很有限，因为工具越来越多。你的目的是要产生DVD和产生VM的包装，如果你是一个测试员，你不想下载别的，你可以专门下载测试包装。还有一个WebGoat开发员的版本，包括Webgoat源代码这些东西帮助你更改。Wubi是我们关注另外一个项目，可以让你同时启动windows和lunix而不需要改变任何硬盘分区。

　　还有其他一些OWASP教育项目的联系，包括面向大学应用的版本，在每一堂课不用花一个小时或者两个设置环境了，直接可以用了。WTE的目的主要是让破坏者变成建造者。WTE在云中的使用，AppSec Usa为2011年9月，Matt演示了如何在云环境里安装WTE。

　　相关链接：

　　OWASP2011演讲PPT下载专辑http://topic.it168.com/factory/owasp_2011/index.html
　　OWASP2011专题报道http://safe.it168.com/topic/2011/11-7/OWASP2011/index.html