写点什么

安全评估技术:代码审查和渗透测试

  • 2010-12-18
  • 本文字数:723 字

    阅读完需:约 2 分钟

对 Web 应用程序的安全测试和评估应该包含两种技术,那就是安全代码审查和渗透测试技术。 OWASP 的委员会成员 Dave Wichers 最近在 AppSec DC 2010 大会发言,谈到了代码审查和渗透测试方法在寻找web 应用程序的安全漏洞过程中的优势和劣势。

Dave 说,代码审查和渗透测试都能够支持自动化分析工具,从而为该过程中的安全引擎提供帮助。 代码审查过程应该包括检查所有自定义开发的代码,还要检查应用程序的配置文件、库文件、框架以及部署应用程序的服务器。

他比较了每种方法的优势和劣势。 渗透测试的优势在于,它需要更少的专业技能,更容易设置和执行,从而试验整个应用程序的架构,并找到漏洞。 而代码审查方法的优势则在于,它易于找到特定类型缺陷的所有内容和所有实例,它会验证正确的控件以及用在所需位置上的控件。

Dave 还显示了这两种方法对于 OWASP Top 10 安全风险列表的内容。 代码审查是找到下列类型风险更好的方法:

  • 注入缺陷
  • 跨站点脚本攻击
  • 直接对象引用
  • 伪造跨站点请求
  • 基于 URL 的访问控制
  • 加密存储
  • 重定向 / 指向缺陷

而渗透测试在找寻下列类型的安全漏洞时胜出:

  • 配置缺陷
  • 传输安全缺陷

其它问题,像认证缺陷以及找寻认证和会话管理缺陷,使用这两种技术都可以解决。 它们为下列问题都提供了价值:找到与认证相关的问题,像账户锁定、需要强壮的证书、记录认证事件的日志、在注销的时候恰当地让会话失效、以及提供充分的随机会话令牌。

安全团队应该在安全测试过程中使用这两种技术,但是代码审查的优势会随着应用程序的规模以及评估的严格程度而变的更显著。 Dave 对讨论作出结论:代码审查并非是更昂贵的方式。 如果你有具备正确技能的人,那么它实际上会更快、更有效。

查看英文原文: Security Assessment Techniques:Code Review v Pen Testing

2010-12-18 00:452101
用户头像

发布了 340 篇内容, 共 123.0 次阅读, 收获喜欢 13 次。

关注

评论

发布
暂无评论
发现更多内容

当下工作流管理系统的发展趋势

Marilyn

敏捷开发 快速开发 软件架构 企业开发

SpringBoot-技术专题-war包部署读取外部配置Properties

洛神灬殇

专利申请其实并不难?四步教你玩转专利申请!

华为云开发者联盟

专利 保护

C++ primer -- 第16章 string类和标准模版库

Dreamer

c++

独立显卡市场又一巨头跻入,英特尔锐炬® Xe MAX 独立显卡来了!

E科讯

架构师训练营 1 期第 6 周作业

木头发芽

Forsage矩阵系统开发,智能合约搭建

薇電13242772558

直播预告 | CloudQuery初体验——安装及多数据源连接

BinTools图尔兹

数据库 sql 安全 工具软件 dba

Caffe 安装踩坑记录

Dreamer

caffe

写文档太麻烦,试试这款 IDEA 插件吧!

程序员小航

Java markdown IDEA idea插件 文档

EDA最强攻略,如何为EDA选择存储?

焱融科技

分布式 高性能 存储 半导体 EDA

架构师训练营第 1 期 第 3 周作业

李循律

极客大学架构师训练营

TypeScript魔法堂:函数类型声明其实很复杂

肥仔John

Java typescript

数据结构与算法系列之链表操作全集(二)(GO)

书旅

数据结构 算法 Go 语言

C++ primer -- 第十二章 类和动态内存分配

Dreamer

c++

c++ primer -- 第14章 C++中代码重用

Dreamer

c++

C++ primer -- 第十五章 友元,异常和其他

Dreamer

c++

C++ primer -- 第18章 探讨C++新标准

Dreamer

c++

面试时说Redis是单线程的,被喷惨了!

redis 编程 程序员 计算机

C++ primer -- 第十三章 类继承

Dreamer

c++

架构师训练营第 1 期 第 5 周作业

李循律

极客大学架构师训练营

一个研发团队是如何坚持7年技术分享的?

PingCode

团队管理 程序员 敏捷开发 研发管理 技术分享

在2020年更受关注和追捧的JS框架

葡萄城技术团队

react.js Vue js Svelte

C++ primer -- 第17章 输入,输出和文件

Dreamer

c++

目标检测综述

Dreamer

Docker底层技术

混沌畅想

Docker 容器 DevOps 底层技术

SpringBoot-技术专题-war包部署读取外部配置Yml

洛神灬殇

华为云的销售凭什么说“赢”了罗振宇?

ToB行业头条

tob

TensorFlow 篇 | TensorFlow 数据输入的最佳实践

Alex

tensorflow keras input pipeline dataset

MySQL中事务的持久性实现原理

X先生

MySQL 数据库 sql 数据库事务 事务

接口测试人员需要掌握的知识技能

测试人生路

接口测试

  • 扫码加入 InfoQ 开发者交流群
安全评估技术:代码审查和渗透测试_安全_Srini Penchikala_InfoQ精选文章