OWASP/wstg

# OWASP Web 安全测试指南 [](https://github.com/OWASP/wstg/issues) [](https://owasp.org/projects/) [](https://x.com/owasp_wstg) [](https://creativecommons.org/licenses/by-sa/4.0/ "CC BY-SA 4.0") 欢迎来到开放式全球应用程序安全项目® (OWASP®) Web 安全测试指南 (WSTG) 的官方代码库。WSTG 是一份用于测试 Web 应用程序和 Web 服务安全性的综合指南。WSTG 由安全专业人员和敬业志愿者的共同努力创建，提供了全球渗透测试人员和组织使用的最佳实践框架。 我们目前正在开发 5.0 发布版本。您可以[在 GitHub 上阅读当前文档](https://github.com/OWASP/wstg/tree/master/document)。 查看最新的稳定版本，请[查看 4.2 版本](https://github.com/OWASP/wstg/releases/tag/v4.2)。也可访问[在线版本](https://owasp.org/www-project-web-security-testing-guide/v42/)。 - [如何引用 WSTG 场景](#how-to-reference-wstg-scenarios) - [链接](#linking) - [贡献、功能请求与反馈](#contributions-feature-requests-and-feedback) - [与我们交流](#chat-with-us) - [项目负责人](#project-leaders) - [核心团队](#core-team) - [翻译](#translations) ## 如何引用 WSTG 场景 每个场景都有一个格式为 `WSTG--` 的标识符，其中：'category' 是一个 4 字符的大写字符串，用于标识测试或缺陷的类型，'number' 是一个从 01 到 99 的填充零的数值。例如：`WSTG-INFO-02` 是第二个信息收集测试。 标识符可能会在版本之间发生变化。因此，其他文档、报告或工具最好使用以下格式：`WSTG---`，其中：'version' 是去除了标点符号的版本标签。例如：`WSTG-v42-INFO-02` 应被理解为特指 4.2 版本中的第二个信息收集测试。 如果使用的标识符未包含 `` 元素，则应假定它们引用的是最新的 Web 安全测试指南内容。随着指南的增长和变化，这会产生问题，这也是作者或开发人员应包含版本元素的原因。 ### 链接 链接到 Web 安全测试指南场景时应使用带版本的链接，而不是 `stable` 或 `latest`，因为后者会随时间变化。但是，项目团队意在让带版本的链接不发生变化。例如：`https://owasp.org/www-project-web-security-testing-guide/v42/4-Web_Application_Security_Testing/01-Information_Gathering/02-Fingerprint_Web_Server.html`。注意：`v42` 元素指的是 4.2 版本。 ## 贡献、功能请求与反馈 我们积极邀请新的贡献者！首先，请阅读[贡献指南](CONTRIBUTING.md)。 第一次来？这里有一些 [GitHub 给本代码库首次贡献者的建议](https://github.com/OWASP/wstg/contribute)。 这个项目之所以成为可能，全归功于许多敬业志愿者的工作。我们鼓励大家通过或大或小的方式提供帮助。您可以通过以下几种方式提供帮助： - 阅读当前内容并帮助我们修正任何拼写错误或语法错误。 - 协助[翻译](CONTRIBUTING.md#translation)工作。 - 选择一个现有的 issue 并提交 pull request 来修复它。 - 开启一个新的 issue 来报告改进机会。 要了解如何成功贡献，请阅读[贡献指南](CONTRIBUTING.md)。 成功的贡献者将出现在[项目作者、审阅者或编辑列表](document/1-Frontispiece/README.md)中。 ## 与我们交流 您可以在 Slack 上轻松找到我们： 1. 使用此[邀请链接](https://owasp.org/slack/invite)加入 OWASP Group Slack。 2. 加入本项目的[频道，#testing-guide](https://app.slack.com/client/T04T40NHX/CJ2QDHLRJ)。 随时提问、提出想法或分享您的最佳食谱。 您可以在 𝕏 (Twitter) 上 @ 我们 [@owasp_wstg](https://x.com/owasp_wstg)。 您也可以加入我们的 [Google Group](https://groups.google.com/a/owasp.org/forum/#!forum/testing-guide-project)。 ## 项目负责人 - [Rick Mitchell](https://github.com/kingthorin) - [Elie Saad](https://github.com/ThunderSon) ## 核心团队 - [Rejah Rehim](https://github.com/rejahrehim) - [Victoria Drake](https://github.com/victoriadrake) ## 翻译 - [葡萄牙语 (巴西)](https://github.com/doverh/wstg-translations-pt) - [俄语](https://github.com/andrettv/WSTG/tree/master/WSTG-ru) - [波斯语](https://github.com/whoismh11/owasp-wstg-fa) - [土耳其语](https://github.com/enoskom/Owasp-wstg) - [西班牙语](https://github.com/frangelbarrera/wstg) Open Worldwide Application Security Project 和 OWASP 是 OWASP Foundation, Inc. 的注册商标。

标签：AES-256, CISA项目, CSP, DNS解析, meg, Web安全, Web服务安全, WSTG, 信息安全, 安全文档, 安全标准, 安全测试, 密码管理, 开源项目, 攻击性安全, 数据展示, 最佳实践, 测试指南, 漏洞评估, 红队, 网络安全, 网络安全研究, 蓝队分析, 防御加固, 隐私保护