Есть отличная удаленная работа для php+codeception+jenkins+allure+docker спецов. 100% remote! Присоединиться к проекту

Webdriver и тесты на безопасность. Проверка различных видов XSS. Стоит ли автоматизировать на webdriver?


(Andrey Kim) #1

В первую очередь здесь под тестами на безопасность я подразумеваю XSS различных видов.
Кто нибудь автоматизировал это дело через Webdriver? Если автоматизировали, то как строится ваш тесткейс?
Стоит ли использовать именно этот инструмент для таких целей?


(Sergey Korol) #2

Ответ - нет. Для тестирования безопасности (в частности XSS) существует множество специализированных тулов. А у драйвера несколько иное предназначение.


(Andrey Kim) #3

Я к примеру знаю только всякие сканеры в виде плагинов к FF, а есть какое нибудь решение, которое можно будет скрестить затем с CI системой?


(Sergey Korol) #4

Можете посмотреть в сторону ZAPROXY. Его можно интегрировать с вашими функциональными тестами. Но я бы все же не советовал запускать секьюрити тесты на окружении, которое будет потом использоваться другими, еще и continuously, ибо любой секьюрити тул направлен на разрушение. И если вы будете ложить БД и энваемент каждый раз сразу после билда, никто вам спасибо за это не скажет. Пусть секьюрити тим гоняет свои тесты (даже непрерывные) на отдельном окружении.


(Mykhailo Poliarush) #5

Вопрос, а зачем скрещивать это тестирование с webdriver?

Я могу вас направить на https://www.owasp.org/ Там много инструментов по тестированию безопасности.

Кстати, там есть хорошие cheat листы по xss

И вот можете посмотреть на список инструментов:


(Artur Korobeynyk) #6

Если вы собираетесь самостоятельно автоматизировать тестирование безопасности сайта, то вам не понадобится ничего кроме библиотеки для REST запросов.
Если же вы просто хотите провести тестирование безопасности, то всё же лучше обратиться к уже автоматическим тулзам, на том же owasp. Вобще любой шарящий человек думаю не скажет никаких других слов кроме как Nessus Security Scanner http://www.cs.cmu.edu/~dwendlan/personal/nessus.html.