OWASP测试指南

• 软 件 开 发 生 命 周 期 早 期
缺 点 :
• 相 对 新 型 的 技 术
• 良 好 的 威 胁 模 型 并 不 意 味 着 自 动 产 生 良 好 的 软 件
代 码 复 查
概 要
代 码 复 查 是 手 动 检 查 的 一 个 过 程 , 它 往 往 用 于 检 查 WEB 应 用 程 序 中 的 源 代 码 可 能 存 在 的 安 全 问 题 。 许 多 严 重 的 安 全
漏 洞 不 能 被 任 何 其 它 形 式 的 分 析 或 测 试 所 检 测 到 。 有 句 俗 话 , “ 如 果 你 想 知 道 一 件 事 是 怎 幺 产 生 的 , 请 直 接 寻 找 其
根 源 。” 几 乎 所 有 的 安 全 专 家 一 致 认 为 , 没 有 任 何 检 测 方 法 可 以 取 代 代 码 审 查 。 几 乎 所 有 信 息 安 全 问 题 都 被 证 实 为
代 码 问 题 。 与 对 源 代 码 不 开 放 的 第 三 方 软 件 , 如 操 作 系 统 进 行 测 试 不 同 , 测 试 Web 应 用 程 序 时 ( 特 别 是 如 果 他 们 已
经 完 成 内 部 定 制 ) 源 代 码 应 当 用 于 测 试 目 的 。 一 些 由 于 过 失 而 导 致 的 显 着 安 全 问 题 , 通 过 其 它 形 式 的 分 析 和 测 试 ,
比 如 渗 透 测 试 是 极 其 难 以 发 现 的 , 这 也 是 在 测 试 技 术 中 源 代 码 复 查 技 术 不 可 缺 失 的 原 因 。 测 试 者 通 过 代 码 复 查 可 以
准 确 判 断 接 下 来 将 发 生 什 幺 事 情 ( 或 应 该 发 生 ), 消 除 了 黑 盒 测 试 中 的 猜 测 过 程 。 源 代 码 复 查 特 别 有 利 于 发 现 以 下
安 全 问 题 : 如 并 发 的 问 题 , 有 缺 陷 的 业 务 逻 辑 , 访 问 控 制 的 问 题 , 加 密 的 弱 点 , 后 门 , 木 马 , 复 活 节 彩 蛋 , 定 时 炸
弹 , 逻 辑 炸 弹 , 和 其 它 形 式 的 恶 意 代 码 。 这 些 问 题 在 网 站 中 往 往 表 现 为 最 有 害 的 漏 洞 。 源 代 码 分 析 对 于 查 找 可 能 存
在 的 执 行 问 题 , 比 如 某 个 需 要 输 入 验 证 的 地 方 不 能 有 效 执 行 或 打 开 控 制 进 程 失 败 是 十 分 有 效 的 。 但 是 请 记 住 , 业 务
流 程 同 样 需 要 加 以 审 查 , 因 为 真 实 运 行 环 境 中 的 源 代 码 可 能 与 此 处 已 分 析 的 源 代 码 不 一 样 [13]。
优 点 :
• 完 整 性 和 有 效 性
• 准 确
• 快 速 ( 对 具 有 高 能 力 的 复 查 者 而 言 )
缺 点 :
• 需 要 高 度 熟 练 的 安 全 开 发 者
• 可 能 错 过 存 在 于 已 编 译 好 的 类 库 中 的 问 题
• 无 法 检 测 运 行 时 产 生 的 错 误
• 真 实 运 行 环 境 中 的 源 代 码 可 能 与 此 处 已 分 析 的 源 代 码 不 一 样
欲 了 解 关 于 代 码 审 查 的 更 多 信 息 , 查 询 OWASP 代 码 审 查 项 目 。
24