设施如此重要记住正
这就是为什么按照最佳实践设计开发和维护软件定期进行 系统安全测试并监控整个 基础确的漏洞评估是多么重要。毕竟目标很明确:确保每个系统用户的安全。 在本文中: 什么是安全测试? 渗透测试。手动和自动工具 最常见的应用程序安全问题 系统安全测试 为什么值得这样做? 安全测试 它们是什么以及为什么我们应该定期进行它们? 什么是安全测试? 它是一个受控过程旨在检测尽可能多的错误潜在攻击者可能会利用这些错误来获得对数据的未经授权的访问。简单来说安全测试人员扮演攻击者的角色在保持道德行为的同时进行渗透测试试图破坏系统的安全。然后他们提交一份报告其中包括发现的安全问题列表以及解决这些问题和加强保护的建议。 安全测试旨在提高应用程序或系统的整体安全性以降低潜在攻击的风险。 值得注意的是进行安全测试并不能保证 的保护而是会降低可能的攻击面 测试人员有预定的时间来查找安全漏洞而潜在的攻击者则拥有无限的时间资源。 此外由于应用程 电子邮件数据 序的不断发展应定期重复安全测试。值得记住的是任何更改都可能会引入安全错误并为潜在威胁 敞开大门 。 渗透测试。手动和自动工具 自动化工具可以支持安全测试。它们可以分为两种基本类型: 静态测试 使用白盒方法 需要访问应用程序源代码 配置文件。它们不需要运行 实时 应用程序。
https://static.wixstatic.com/media/403906_5575a86f8171465c9ddb0b46c9828c02~mv2.jpg/v1/fill/w_704,h_393,al_c,q_80,usm_0.66_1.00_0.01,enc_auto/403906_5575a86f8171465c9ddb0b46c9828c02~mv2.jpg
这种自动扫描速度很快但往往会涉及大量需要手动验证的 误报 。这种类型的自动工具可以轻松集成到 流程中甚至可以在 环境中创建代码时集成。此类工具的示例包括:。 动态测试 使用 黑盒 方法 需要正在运行的应用程序。它们不需要访问应用程序源代码 配置文件。动态测试使用真实的应用程序基础设施。它们可以进行更广泛的测试。它们的特点是 误报 较少。 就是此类工具的一个示例 尽管自动工具非常有用但了解它们的局限性还是值得的。随着技术的发展这些工具基于的规则包括:新框架和库的创建需要更新规则。 此外自动工具不知道应用程序的操作逻辑或其目的。
頁:
[1]