互聯網上的(de)Web應用(yòng)也(yě)可(kě)能會遇到一些攻擊和(hé)一些缺陷。因此,安全測試也(yě)是新網站發布的(de)一個(gè)主要環節。在網站建設和(hé)公告過程中,這(zhè)一點往往被忽略,但卻是整個(gè)過程中非常重要的(de)一步。它可(kě)以贊助我們發明(míng)一些意想不到的(de)故障、故障功效和(hé)用(yòng)戶體驗問題,也(yě)可(kě)以贊助我們發明(míng)一些可(kě)能導緻系統攻擊的(de)網站缺陷。在規模化(huà)生産公告過程中加入安全測試可(kě)以帶來(lái)很多(duō)好處,應用(yòng)程序的(de)信息比規模壓力測試和(hé)用(yòng)戶流量監控的(de)信息更多(duō)。關于如何在Web應用(yòng)程序中“添加混沌”,或者對(duì)軟件應用(yòng)一些随機動作來(lái)确認是否可(kě)以順利處理(lǐ)的(de)優秀書(shū)籍有很多(duō)。這(zhè)一過程不容忽視。
安全測試應該成爲所有新産品發布的(de)主要部分(fēn),不應該在發布之後才考慮。應該在應用(yòng)程序可(kě)以測試的(de)時(shí)候就開始,并在整個(gè)開發過程中持續進行,直到産品發布成功。滲透測試是安全工程師最重要的(de)工作,其職責是檢測網絡應用(yòng)程序的(de)缺陷和(hé)不足,并在最終用(yòng)戶訪問新應用(yòng)程序之前發現安全問題。Metasploit 1框架或Webscarab項目是一個(gè)适合滲透測試過程的(de)軟件。
1。融入質量保證過程
在幻想的(de)情況下(xià),缺陷掃描應該是主動的(de),并融入到QA流程中。在新版本代碼發布到網絡環境後,網站制造質量保證測試套件應該執行一些缺陷掃描。這(zhè)樣就可(kě)以形成一種安全測試文化(huà),而不是在對(duì)安全問題有懷疑的(de)時(shí)候進行測試。安全測試不應該完全是組織中工程師的(de)責任。所有公司都應該知道進行安全測試的(de)原因和(hé)好處,這(zhè)樣它就會成爲一項常規工作。通(tōng)過将安全測試添加到活動規模質量保證流程中,所有技能團隊都可(kě)以習(xí)慣于執行安全測試,就像查看日志文件或服務器性能指标一樣。
2。網絡使用(yòng)掃描工具
有很多(duō)商業或開源的(de)Web版本使用(yòng)缺陷掃描工具。我不能指出哪些是最好的(de)工具,因爲到這(zhè)本書(shū)印刷出版的(de)時(shí)候,它們可(kě)能已經過時(shí)了(le),所以我隻是建議(yì)應用(yòng)這(zhè)個(gè)工具。這(zhè)些漏洞掃描工具會像搜索引擎一樣抓取網站或web應用(yòng)的(de)内容,然後分(fēn)析其結構,然後在網站建設上使用(yòng)各種常見的(de)漏洞掃描算(suàn)法。他(tā)們不僅可(kě)以确認新開發的(de)網站或應用(yòng)程序是否存在常見缺陷,還(hái)可(kě)以爲應用(yòng)程序創建一些場(chǎng)景和(hé)應用(yòng)模式,以便他(tā)們可(kě)以采取一些意想不到的(de)行動,并爲軟件技能團隊發現應用(yòng)中需要改進的(de)地方。因此,掃描工具不僅是一種安全工具,也(yě)是一種質量保證工具。任何新軟件都必須進行缺陷掃描,然後才能交付或提供給公衆用(yòng)戶訪問。
留下(xià)聯系方式,我們将會在一個(gè)工作日内與你聯系