網站新聞
最新新聞
| 預防Web應用程序的漏洞 |
| 時間: 2013/2/16 10:43:54 點擊: 16682 |
|
找潛在的漏洞。在這種方式中,測試人員使用模糊技術,這包含通過HTTP請求,提交意料之外的或非法的數據項到Web應用程序上并檢查它的響應。4測試人員不需要了解實現細節——他們在用戶的角度來測試應用程序的輸入。對于每種漏洞類型,可能會有上百次甚至上千次的測試。
滲透測試工具會自動搜索漏洞,這避免了手工為每種類型的漏洞構建上百個甚至上千個測試所帶來的重復和乏味的工作。Web應用的常見自動化安全測試工具一般會稱為Web應用或Web安全掃描器。這些掃描器可以很容易地測試應用程序以發現漏洞。對于目標應用,它們會有一些預定義的測試用例,所以用戶只需要配置一下掃描器并讓它測試應用即可。一旦掃描器完成測試,它會報告所探測到的漏洞。大多數的掃描器都是商業產品,盡管也有免費的應用程序掃描器,但是與商用版本相比,它們缺少大多數的功能所以用的很有限。 漏洞探測的局限性 滲透測試和靜態代碼分析可以是手動的也可以是自動化的。因為手動測試或檢查需要特殊的安全資源并且很費時間,所以對于Web應用的開發人員來說自動化工具是常見的選擇。當考慮漏洞檢測工具的局限性時,很重要的一點就是安全測試是很困難的。確實,衡量應用程序的安全性是很有挑戰性的:盡管發現一些漏洞可能很容易,但是保證應用沒有漏洞是困難的。1 滲透測試和靜態代碼分析工具都有其固有的局限性。滲透測試依賴于有效地代碼執行,但是在實踐中,漏洞識別時只會檢查Web應用的輸出。所以,缺少查看應用的內部行為會限制滲透測試的有效性。 另一方面,詳盡的源代碼分析可能比較困難。代碼的復雜性以及缺少動
|
|
上一篇: 馬云:做搜索是為了讓百度睡不著覺 下一篇: 網站流量之如何防止圖片浪費空間流量技巧 |
電話:020-85562980 傳真:020-85563269 郵箱:service@macroblue.net
聯系地址:廣州市中山大道89號國家軟件產業基地天河軟件園華景園區12S-05 郵編:510630
版權所有 (C) 2003-2011 www.zhenluyuan.com 網站ICP備案號:粵ICP備05020325號-8
聯系地址:廣州市中山大道89號國家軟件產業基地天河軟件園華景園區12S-05 郵編:510630
版權所有 (C) 2003-2011 www.zhenluyuan.com 網站ICP備案號:粵ICP備05020325號-8