| 預(yù)防Web應(yīng)用程序的漏洞 |
| 時間: 2013/2/16 10:43:54 點(diǎn)擊: 16687 |
|
一種黑盒測試技術(shù),因?yàn)樗粫O(jiān)控應(yīng)用程序和漏洞相關(guān)資源的接口(如數(shù)據(jù)庫接口)。
Analysis and Monitoring for Neutralizing SQL-Injection Attacks(Amnesia)工具組合了靜態(tài)分析和運(yùn)行時監(jiān)控來檢測SQL注入攻擊。12它對Web應(yīng)用的源碼進(jìn)行靜態(tài)分析,構(gòu)建一個由應(yīng)用生成的合法查詢模型。在運(yùn)行時,它監(jiān)控動態(tài)生成的查詢,檢查是否與靜態(tài)生成的模型相符。這個工具認(rèn)為違反模型的查詢?yōu)楣舨⒆柚顾L問數(shù)據(jù)庫。 為了應(yīng)對Web應(yīng)用安全的新威脅,開發(fā)流程必須也要有所發(fā)展。例如,微軟安全開發(fā)生命周期(Microsoft Security Development Lifecycle)完善了公司的開發(fā)流程并特別針對安全問題的解決,例如明確了開發(fā)團(tuán)隊(duì)的安全培訓(xùn)。13按照微軟的說法,這個流程的采用減少了軟件中的安全缺陷。盡管這只是一個例子,但是它表明在這個行業(yè)中,對軟件開發(fā)執(zhí)行安全流程是很重要的事情。 在整個軟件產(chǎn)品的開發(fā)和部署生命周期中,開發(fā)人員必須要考慮安全性。他們必須要使用安全編碼的最佳實(shí)踐、執(zhí)行足夠的安全測試并使用安全檢測系統(tǒng)在運(yùn)行時保護(hù)應(yīng)用程序。在這個任務(wù)中,開發(fā)人員需要得到一些幫助來獲取需要的技術(shù)和能夠提高生產(chǎn)率的工具。 研究人員應(yīng)該提出創(chuàng)新的工具,能夠在開發(fā)過程中方便地使用并滿足部署時有效性和生產(chǎn)效率的要求。這個演變的中心是安全測試工具,對于檢驗(yàn)和確認(rèn)應(yīng)用程序以檢查安全漏洞來講,它們是至關(guān)重要的。不過,必須要探索新的假設(shè)。一個可以預(yù)見的可能性就是開發(fā)編譯器,使其不僅能強(qiáng)制使用最佳編碼實(shí)現(xiàn),還能自動化修改存在的安全漏洞。
|
|
上一篇: 馬云:做搜索是為了讓百度睡不著覺 下一篇: 網(wǎng)站流量之如何防止圖片浪費(fèi)空間流量技巧 |
聯(lián)系地址:廣州市中山大道89號國家軟件產(chǎn)業(yè)基地天河軟件園華景園區(qū)12S-05 郵編:510630
版權(quán)所有 (C) 2003-2011 www.zhenluyuan.com 網(wǎng)站ICP備案號:粵ICP備05020325號-8