Java で自動化されたセキュリティ テストのようなものはありますか? もしそうなら、それはどのように実装されていますか?既知のサーバーの脆弱性を試して悪用するために書かれた JUnit テストだけですか、それともセキュリティ中心のテスト フレームワークですか?
続編として、私はこの OWASP セキュリティ テスト フレームワークにも興味がありますが、彼らが「フレームワーク」を古典的な意味 (従うべきガイドラインと手順のセットを意味する) で使用しているのか、ソフトウェア コンテキスト (自動化されたセキュリティ テスト コンポーネントを実際に提供している場所)。
私のためにこれに光を当てることができる人に感謝します!
それがまさにあなたが探しているものかどうかはわかりませんが、junit を使用したセキュリティ許可のテストに関する Stephen Colebourne (joda-time および将来の新しい標準 java8 date-time API の作成者) によるブログ投稿があります: Stephen Colebourne のブログ: Testingセキュリティ許可
ファズ テストは決して悪くありません: http://www.ibm.com/developerworks/java/library/j-fuzztest/index.html
ファズ テストは、アプリケーションがユーザー入力のあらゆる機会に対して安全であることを確認するのに役立ちます。
JUnit テストは「ランダム」であるため、ファズ テストはある意味では少し扱いにくいものです。テスト スイートの各入力アベニューで、多数のファズ テストをループして実行することができます。
セキュリティ スキャンを実行する VeraCode などの商用ツールがあります。私は彼らのために働いていませんが、私の会社はそれを使用しています。かなり徹底しているようです。
自動化されたセキュリティ テストは困難ですが、だからといってやる価値がないわけではありません。
Web アプリに関する私の提案 - 既存の単体テストと統合テスト (Selenium など) を使用し、OWASP ZAP (Zed Attack Proxy) などのセキュリティ ツールを介してそれらをプロキシします。詳細については、 http://code.google.com/p/zaproxy/wiki/SecRegTestsを参照してください。
サイモン (ZAP プロジェクト リーダー)