下载后可任意编辑<< 系统安全基础之在 Windows 中跟踪 IP 地址 | 首 页 | [03-30] 绿 色精品免费软件下载更新 >> 2024 年 03 月 29 日对于网络应用的安全测试中什么最重要 - [安全资讯]对于网络应用的安全测试中什么最重要 作者:杜莉 来源:赛迪网跟其他商业分析一样,网络应用的安全测试也有三个可能的结果:你的测试结果,你的漏洞评估以及真相。不 管用的是商用还是免费的扫描器,你都能收集到很多信息,从而发现这些网络应用的漏洞。问题是,其中可能有很多不是很严重的漏洞。无论营销方案还是 precanned 安全策略和报告,当需要从测试结果中整理出真正有威胁的漏洞时,你都应当从公司的网络,商业需求和能承受风险的大小这些方面来考虑。网 络安全应用测试工具极其聪慧,它们能够在数分钟内发现那些世界上最好的黑客也需要花数小时,数月或者更多的时间才能找出的漏洞。当你拿到测试结果后,你需 要决定什么才是至关重要的。某些没有经验的网络应用安全顾问、安全管理服务商以及审计员,他们在进行漏洞评估扫描后,直接把结果交给客户,并声称客户的系 统有一大堆的漏洞需要修复。类似的,还有的网管看到测试工具找到的一大堆漏洞后大惊失色。他们会认为问题非常严重,并且立即跑去申请更多的预算来购置更多 技术来解决这些问题。即使你希望人们重视你的测试结果,你也无需用这样的方式表达,尤其是在你身为经理人或者开发人员的情况下。你得退一 步,从全局角度考虑问题,结合公司的具体情况来分析这些评估结果。也就是说,你得换个角度(例如,从防火墙内侧而不是从外侧考虑)看待联机(或者通过漏洞 连接)或者手动进行攻击的问题。除非你的测试工具确实利用某漏洞进行了攻击,并将结果呈献给你,否则你必须深化讨论漏洞评估的结果,并且确定什么才真正构成威胁。下面是些网络应用安全漏洞的实例。你可以把这些情况称为假阳性,失察,妄想或者其他的——归根结底,它们都是表面上看起来很严重,但其实跟本不构成威胁。漏洞评估发现 1:发现 SQL 注入漏洞,它可能允许黑客访问数据库。结果:进行适当的用户输入验证后,没有什么数据真的被人窃取。漏洞评估发现 2:由于没有在登陆页面上进行 SSL(安全连接),会话 ID 和登陆信息是以文本形式发送的,黑客有可能截获这些信息。结果:网管仍然没有在服务器上使用数字签名。-------------各类专业好文档,值得你下载,教育,管理,论文,制度,方案...
VIP
