與其他軟件一樣,Web應(yīng)用程序也可能會遭受一些攻擊,也有一些漏洞。因此,安全測試也是新網(wǎng)站發(fā)布的一項重要環(huán)節(jié)。在網(wǎng)絡(luò)的建設(shè)和發(fā)布過程中,這一點經(jīng)常被忽略,但這是整個過程中非常重要的一步,它可以幫助我們發(fā)現(xiàn)一些意外錯誤、錯誤功能和用戶體驗問題,也可以幫助我們發(fā)現(xiàn)一些網(wǎng)站可能導(dǎo)致系統(tǒng)遭受攻擊的漏洞。將安全測試加到標(biāo)準(zhǔn)生產(chǎn)發(fā)布過程中,可以帶來很多好處,而且它產(chǎn)生的應(yīng)用程序信息多于標(biāo)準(zhǔn)壓力測試和用戶流量監(jiān)控所能產(chǎn)生的信息。有許多優(yōu)秀的書籍介紹如何給Web應(yīng)用程序“添亂”,或者給軟件施加一些隨機(jī)行為,以確定它是否能夠順利處理。這個過程一定不能忽視。
安全測試應(yīng)該成為所有新產(chǎn)品發(fā)布的一個重要部分,而且不應(yīng)該事后才想到。它應(yīng)該在應(yīng)用程序可以測試時就啟動,而且要在整個開發(fā)過程中持續(xù)進(jìn)行,直到產(chǎn)品成功發(fā)布為止。滲透測試是安全工程師的最主要工作,他的職責(zé)就是檢測Web應(yīng)用程序的漏洞和缺陷,并且要在最終用戶訪問新應(yīng)用程序之前發(fā)現(xiàn)安全問題。 Metasploit 1框架或 Webscarab項目就是很適合在滲透測試過程使用的軟件。
1.Web應(yīng)用掃描工具
有許多商業(yè)或開源Web應(yīng)用漏洞掃描工具推出了商業(yè)版本,我沒法指出哪一些是最好的工具,因為到本書印刷出版時它們可能就已經(jīng)過時了,所以這里我只是建議最好能使用一下這種工具。這些漏洞掃描工具會像搜索引擎一樣抓取網(wǎng)站或Web應(yīng)用程序的內(nèi)容,從而分析它的結(jié)構(gòu),然后在網(wǎng)站上應(yīng)用各種常見的漏洞掃描算法。它們不僅能夠確定最新開發(fā)的網(wǎng)站或應(yīng)用是否有常見漏洞,而且也能夠給應(yīng)用程序創(chuàng)建一些場景和使用模式,由它們產(chǎn)生一些意外行為,為軟件技術(shù)團(tuán)隊發(fā)現(xiàn)應(yīng)用中需要改進(jìn)的地方。因此,掃描工具不僅是一個安全工具,也是一個質(zhì)量保證工具。任何新軟件都必須經(jīng)過漏洞掃描,然后才能交付或提供給公共用戶訪問。
2.集成到QA過程中
理想情況下,漏洞掃描應(yīng)該自動化并集成到QA過程中。在將新版本代碼發(fā)布到Web環(huán)境之后,
網(wǎng)站制作質(zhì)量保證測試套件應(yīng)該執(zhí)行一些漏洞掃描。這樣可以形成一種安全測試文化,而不是在懷疑有安全問題時才執(zhí)行測成。且,女全測試不應(yīng)該專屬于組實中果位工程師的職責(zé),整個公司都應(yīng)該理解執(zhí)行安全測試的原因與好處,這樣它才會成為一件常規(guī)工作。將安全測試添加到自動化標(biāo)準(zhǔn)質(zhì)量保證過程中,就可以讓所有技術(shù)團(tuán)隊像檢查日志文件或服務(wù)器性能指標(biāo)一樣習(xí)慣去執(zhí)行安全測試。
當(dāng)前文章:如何輕松搞定網(wǎng)站安全測試?
文章轉(zhuǎn)載:http://www.rwnh.cn/news4/142554.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供外貿(mào)網(wǎng)站建設(shè)、微信小程序、定制開發(fā)、面包屑導(dǎo)航、云服務(wù)器、域名注冊
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源:
創(chuàng)新互聯(lián)