Java安全测试

Java中是否存在自动化安全测试？如果是，如何实施？是编写JUnit测试来尝试和利用已知的服务器漏洞，还是它们的以安全为中心的测试框架

作为一个segue，我也对这个OWASP安全测试框架感兴趣，但无法判断他们是在使用经典意义上的“框架”（意思是要遵循的一组指导原则和过程），还是在软件环境中（他们实际上提供了自动化的安全测试组件）

---

感谢所有能为我解释这件事的人

我不知道这正是您想要的，但Stephen Colebourne（joda time和未来新标准java8日期时间API的作者）在博客中发表了一篇关于使用junit测试安全权限的文章：

模糊测试从来没有坏处：

模糊测试可以帮助您确保您的应用程序在任何用户输入机会下都是安全的

---

模糊测试在某种程度上对于JUnit测试来说有点尴尬，因为它们是“随机的”。您可能希望在测试套件中的每个输入通道上循环并运行许多模糊测试。

工具，例如，也可以是一种自动的方法来查找至少一些安全问题（FindBugs在查找SQL注入等风险方面非常有效）。

有一些商业工具，如VeraCode，可以进行安全扫描。我不为他们工作，但我的公司使用它。它看起来相当彻底。

自动安全测试很难，但这并不意味着它不值得做

我对web应用的建议-使用现有的单元和集成测试（如Selenium），然后通过安全工具（如OWASP ZAP（Zed攻击代理））代理它们。 有关更多详细信息，请参阅

---

Simon（ZAP项目负责人）

这取决于您的Java应用程序实际上是什么。例如，如果您正在构建一个web服务/API，OWASP有一个单独的前10名，只针对那些优先级与常规前10名不同的API。看

---

根据Nordic API，您可能会发现它涉及到大量的手动测试，因为您无法自动执行API前10名的大部分内容：

嗨，Ivan，谢谢，我将查看这篇文章。同时，我要寻找的是这个问题的答案：是使用JUnit编写安全测试，还是有另一个框架（特别是）针对安全问题？如果是这样，OWASP是其中之一吗？是的，Zed攻击代理（ZAP）是渗透测试的好工具