Mi piacerebbe fare una sorta di stima per il tempo impiegato per testare un sito Web / un'applicazione web per vulnerabilità della sicurezza. Testerò i siti web contro OWASP Top 10
Sulla base delle mie conoscenze, il numero di URL statici / dinamici, il numero di parametri da testare (URL, corpo) in un sito Web, altri punti di inserimento come i parametri dei cookie, il nome del parametro, le intestazioni HTTP, i parametri di stile REST sono tutti fattori che contribuiscono il tempo impiegato Si prega di correggere se ho torto.
Detto ciò, quali sono tutti i fattori che possiamo includere per arrivare in un momento in cui è necessario eseguire la valutazione della sicurezza?
Inoltre, dato che la stima dovrebbe essere fatta prima di iniziare il test e il numero di URL / parametri in un sito web saranno noti in fasi successive (come dopo lo spidering / crawling), c'è un modo per fare preventivamente la stima?
Business Logic, numero di funzioni da testare, il numero di livelli di Privilege può dire il tempo impiegato, ma non si ridurrà al numero di parametri che testeremo?
Vorrei fare questa stima per convincere il mio cliente del tempo impiegato per eseguire la valutazione.
Ad esempio, se il mio cliente chiede di eseguire la valutazione di 10 siti Web in "n" giorni, dovrei essere in grado di dire loro con la prova / stima che impiegherà tempo "X".
Qualcuno potrebbe condividere i tuoi pensieri? C'è qualche metodo per questo?