Web應用程序質量評價/測試

用于測試應用程序的具體安全工具范圍很廣，其中有可以評估完整應用程序的獨立解決方案和服務，更有完全集成的套件,這種套件可以提供測試和對從教育到實施等多個階段的支持。集成的方案可以為那些對可重復的Web應用程序的安全周期表現(xiàn)成熟的公司提供多個階段的支持。集成套件可以在進程中的多個時點上實施，并可為持續(xù)的改善提供尺度和反饋。

那么，在質量評價和測試階段，應采取哪些集成安全和改善安全的步驟呢?

1、專注于發(fā)現(xiàn)某些資源的最重要問題。

2、在一個包括現(xiàn)有的補救控制(如防火墻和IPS)的應用架構中驗證這些測試發(fā)現(xiàn)。

3、根據(jù)安全性和業(yè)務需要，區(qū)分所發(fā)現(xiàn)的漏洞的優(yōu)先次序。

4、對于代碼行或其所依賴的API、服務、庫等提出修復建議。

其好處也是顯而易見的：1、應用程序開發(fā)人員之間可以更好地交流。2、似是而非的東西更少。3、修復周期更快。

Web應用程序部署/投產(chǎn)

Web應用程序的安全性并不會終止于應用程序的部署階段。一旦Web應用程序投產(chǎn)，還應當實施其它測試和監(jiān)視，用以確保數(shù)據(jù)和服務受到保護。實際的Web應用程序的自動安全監(jiān)視能夠確保應用程序正在如所期望的那樣運行，并且不會泄露信息從而造成風險。監(jiān)視可由內(nèi)部人員完成，也可外包給能夠全天候監(jiān)視應用程序的外部供應商。

在部署和投產(chǎn)階段集成和改善安全性的步驟：

1、監(jiān)視誤用情況，其目的是為了確定測試中所謂的“不會被利用的漏洞”在投產(chǎn)后真得不會被利用。

2、監(jiān)視數(shù)據(jù)泄露，其目的是為了查找被錯誤地使用、發(fā)送或存儲的所有地方。

3、將部署前的風險評估與投產(chǎn)后的暴露范圍進行比較，并向測試團隊提供反饋。

4、實施Web應用防火墻、IPS或其它的補救措施，其目的是為了減輕代碼修復之前的暴露程度，或是為了符合新的安全規(guī)范。

其好處有如下幾個方面：

1、改善能夠成功實施的漏洞利用的知識庫，從而改善在靜態(tài)和動態(tài)測試期間的掃描效益。

2、發(fā)現(xiàn)并阻止應用程序的誤用情況。

3、在動態(tài)測試和投產(chǎn)中的應用程序控制(如Web應用防火墻或IPS)之間實現(xiàn)更好的集成。

4、滿足再次編寫代碼之前的合規(guī)需要。

5、使用反饋機制實現(xiàn)持續(xù)的改善。

Web應用程序設計總結

Web應用程序的安全保障未必意味著延長開發(fā)周期。只要對所有開發(fā)人員進行良好的教育，并采取清晰且可重復的構建過程，企業(yè)就可以用一種高效而合作性的方式將安全和風險納入到開發(fā)過程中。將安全構建到Web應用程序的交付周期中確實需要一種合作性的方法，需要將人員、過程和技術集成到一起。

Web應用程序安全工具和套件雖然有助于過程的改進，但它們并非萬能藥。為獲得最大利益，應當考慮選擇能夠理解完整開發(fā)周期的Web應用程序安全工具廠商，還要有能在開發(fā)過程的多個階段提供支持的工具。

【編輯推薦】

1. 惡意釣魚網(wǎng)站數(shù)量超百萬
2. 抵御Web威脅的十大方法
3. 如何確保 Web應用安全
4. 防范網(wǎng)站掛馬：審計與監(jiān)測并重 續(xù)
5. 網(wǎng)站主機安全之系統(tǒng)與服務器安全管理
6. 如何在交付周期中保Web應用程序安全性（1）
7. 如何在交付周期中保Web應用程序安全性（2）
8. 如何在交付周期中保Web應用程序安全性（3）