BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

安全评估技术:代码审查和渗透测试

| 作者 Srini Penchikala 关注 34 他的粉丝 ,译者 侯伯薇 关注 0 他的粉丝 发布于 2010年12月19日. 估计阅读时间: 2 分钟 | 如何结合区块链技术,帮助企业降本增效?让我们深度了解几个成功的案例。

对Web应用程序的安全测试和评估应该包含两种技术,那就是安全代码审查和渗透测试技术。 OWASP的委员会成员Dave Wichers最近在AppSec DC 2010大会发言,谈到了代码审查和渗透测试方法在寻找web应用程序的安全漏洞过程中的优势和劣势。

Dave说,代码审查和渗透测试都能够支持自动化分析工具,从而为该过程中的安全引擎提供帮助。 代码审查过程应该包括检查所有自定义开发的代码,还要检查应用程序的配置文件、库文件、框架以及部署应用程序的服务器。

他比较了每种方法的优势和劣势。 渗透测试的优势在于,它需要更少的专业技能,更容易设置和执行,从而试验整个应用程序的架构,并找到漏洞。 而代码审查方法的优势则在于,它易于找到特定类型缺陷的所有内容和所有实例,它会验证正确的控件以及用在所需位置上的控件。

Dave还显示了这两种方法对于 OWASP Top 10安全风险列表的内容。 代码审查是找到下列类型风险更好的方法:

  • 注入缺陷
  • 跨站点脚本攻击
  • 直接对象引用
  • 伪造跨站点请求
  • 基于URL的访问控制
  • 加密存储
  • 重定向/指向缺陷

而渗透测试在找寻下列类型的安全漏洞时胜出:

  • 配置缺陷
  • 传输安全缺陷

其它问题,像认证缺陷以及找寻认证和会话管理缺陷,使用这两种技术都可以解决。 它们为下列问题都提供了价值:找到与认证相关的问题,像账户锁定、需要强壮的证书、记录认证事件的日志、在注销的时候恰当地让会话失效、以及提供充分的随机会话令牌。

安全团队应该在安全测试过程中使用这两种技术,但是代码审查的优势会随着应用程序的规模以及评估的严格程度而变的更显著。 Dave对讨论作出结论:代码审查并非是更昂贵的方式。 如果你有具备正确技能的人,那么它实际上会更快、更有效。
 

查看英文原文:Security Assessment Techniques:Code Review v Pen Testing

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT