testomat.io управление авто тестамиВ первую очередь здесь под тестами на безопасность я подразумеваю XSS различных видов.
Кто нибудь автоматизировал это дело через Webdriver? Если автоматизировали, то как строится ваш тесткейс?
Стоит ли использовать именно этот инструмент для таких целей?
Ответ - нет. Для тестирования безопасности (в частности XSS) существует множество специализированных тулов. А у драйвера несколько иное предназначение.
Я к примеру знаю только всякие сканеры в виде плагинов к FF, а есть какое нибудь решение, которое можно будет скрестить затем с CI системой?
Можете посмотреть в сторону ZAPROXY. Его можно интегрировать с вашими функциональными тестами. Но я бы все же не советовал запускать секьюрити тесты на окружении, которое будет потом использоваться другими, еще и continuously, ибо любой секьюрити тул направлен на разрушение. И если вы будете ложить БД и энваемент каждый раз сразу после билда, никто вам спасибо за это не скажет. Пусть секьюрити тим гоняет свои тесты (даже непрерывные) на отдельном окружении.
Вопрос, а зачем скрещивать это тестирование с webdriver?
Я могу вас направить на https://www.owasp.org/ Там много инструментов по тестированию безопасности.
Кстати, там есть хорошие cheat листы по xss
- DOM based XSS Prevention - OWASP Cheat Sheet Series
- Cross Site Scripting Prevention - OWASP Cheat Sheet Series
- Redirecting…
И вот можете посмотреть на список инструментов:
2 лайка
Если вы собираетесь самостоятельно автоматизировать тестирование безопасности сайта, то вам не понадобится ничего кроме библиотеки для REST запросов.
Если же вы просто хотите провести тестирование безопасности, то всё же лучше обратиться к уже автоматическим тулзам, на том же owasp. Вобще любой шарящий человек думаю не скажет никаких других слов кроме как Nessus Security Scanner Nessus.