OWASPæµè¯æå
OWASPæµè¯æå
OWASPæµè¯æå
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
速 揭 露 这 类 安 全 问 题 。 黑 盒 Web 应 用 程 序 扫 描 器 可 能 认 识 到 不 同 的 用 户 的 hash 值 采 用 自 然 的 方 式 在 改 变 , 但 是 并<br />
不 能 预 测 其 改 变 的 方 式 。<br />
注 : 关 于 静 态 源 代 码 复 查 工 具<br />
许 多 组 织 或 企 业 开 始 使 用 静 态 源 代 码 扫 描 器 。 毋 庸 置 疑 , 综 合 测 试 一 个 应 用 程 序 时 , 其 具 有 一 定 的 有 效 性 , 然 而 ,<br />
我 们 想 要 突 出 的 根 本 问 题 是 , 当 单 独 时 使 用 该 类 工 具 时 , 为 什 么 我 们 并 不 相 信 这 种 方 法 的 有 效 性 。 静 态 源 代 码 分 析<br />
在 设 计 不 可 能 辨 认 问 题 由 于 缺 点 , 因 为 它 不 可 能 了 解 所 开 发 代 码 的 上 下 文 。 源 代 码 分 析 工 具 是 在 确 定 由 于 编 码 错 误<br />
而 导 致 安 全 性 问 题 有 用 的 , 然 而 重 大 手 工 努 力 需 要 确 认 研 究 结 果 。<br />
安 全 需 求 测 试 推 导<br />
如 果 你 想 要 有 一 个 成 功 的 测 试 项 目 , 你 需 要 知 道 测 试 的 目 的 是 什 么 。 这 些 目 的 由 安 全 要 求 指 定 。 这 章 详 细 讨 论 了 如<br />
何 通 过 从 适 用 标 准 和 准 则 和 积 极 和 消 极 应 用 程 序 要 求 中 推 导 出 安 全 测 试 并 记 录 安 全 测 试 要 求 。 它 也 谈 论 安 全 要 求 如<br />
何 有 效 地 在 SDLC 期 间 使 用 安 全 测 试 , 如 何 使 用 安 全 测 验 数 据 有 效 地 处 理 软 件 安 全 风 险 。<br />
测 试 目 的<br />
安 全 测 试 的 目 的 之 一 是 确 认 安 全 控 制 能 如 预 期 一 样 起 作 用 。 “ 安 全 需 求 ” 文 献 描 述 了 安 全 控 制 的 功 能 。 在 高 水 平<br />
角 度 看 , 这 意 味 证 明 数 据 和 服 务 的 机 密 性 、 完 整 性 和 可 用 性 。 另 一 个 目 的 确 认 安 全 控 制 是 在 很 少 或 没 有 弱 点 的 情<br />
况 下 安 装 的 。 存 在 一 些 共 同 的 弱 点 , 例 如 OWASP 十 大 漏 洞 和 之 前 在 SDLC 期 间 进 行 安 全 评 估 所 确 认 的 漏 洞 , 例 如 软<br />
件 威 胁 建 模 , 原 代 码 分 析 和 渗 透 测 试 。<br />
安 全 需 求 文 档<br />
安 全 要 求 文 档 的 第 一 步 是 明 白 业 务 需 求 。 一 个 业 务 需 求 文 献 能 够 提 供 最 原 始 的 、 高 水 平 的 应 用 的 期 望 功 能 的 资 料 。<br />
例 如 , 应 用 的 主 要 目 的 或 许 可 以 为 顾 客 提 供 金 融 服 务 或 从 在 在 线 的 物 品 目 录 上 购 物 和 购 买 物 品 。 企 业 要 求 的 安 全 部<br />
分 应 该 突 出 表 现 为 需 要 保 护 的 顾 客 数 据 并 且 符 合 可 适 用 的 安 全 文 献 的 要 求 , 例 如 章 程 (Regulations)、 标 准<br />
(Standards) 和 政 策 (Policies)。<br />
一 般 一 个 合 适 的 章 程 , 标 准 和 政 策 清 单 适 合 初 步 的 Web 应 用 安 全 合 规 性 分 析 。 例 如 , 可 以 根 据 检 查 企 业 部 门 的 信 息<br />
和 应 用 运 行 / 经 营 的 国 家 或 者 州 的 信 息 来 确 定 是 否 符 合 章 程 。 其 中 一 些 合 规 性 指 南 和 章 程 或 许 在 安 全 控 制 所 需 要 的<br />
特 定 技 术 要 求 上 有 所 转 换 。 例 如 , 在 财 政 应 用 情 况 下 , 遵 照 FFIEC 指 南 认 证 方 面 [15] 要 求 财 政 机 关 安 装 拥 有 多 层 控<br />
制 和 多 因 素 认 证 功 能 的 应 用 软 件 来 应 对 弱 认 证 ( 带 来 的 ) 风 险 .<br />
可 适 用 的 安 全 业 界 标 准 需 要 由 一 般 安 全 要 求 清 单 决 定 。 举 个 例 子 , 在 处 理 顾 客 信 用 卡 数 据 的 应 用 情 况 下 , 遵 照 PCI<br />
DSS [16 个 ] 标 准 禁 止 PINs 和 CVV2 数 据 存 贮 , 并 且 要 求 客 户 通 过 加 密 存 储 和 传 输 和 保 密 显 示 的 方 法 保 护 磁 条 数 据 。<br />
这 样 通 过 原 始 代 码 分 析 PCI DSS 安 全 要 求 才 能 生 效 。<br />
清 单 的 另 一 个 部 分 需 要 加 强 对 符 合 组 织 信 息 安 全 标 准 和 政 策 一 般 要 求 。 从 功 能 要 求 来 看 , 安 全 控 制 要 求 需 要 在 信 息<br />
安 全 标 准 中 的 一 个 具 体 章 节 占 有 一 席 之 地 。 这 样 要 求 的 例 子 可 以 是 :“ 必 须 由 应 用 使 用 的 认 证 控 制 强 制 执 行 六 个 字<br />
母 或 数 字 字 符 的 复 杂 密 码 。“ 当 安 全 要 求 存 在 于 合 规 性 规 则 中 时 , 安 全 测 试 能 确 认 发 现 的 合 规 性 风 险 。 如 果 发 现 违<br />
反 信 息 安 全 标 准 和 政 策 行 为 , 就 导 致 一 些 能 被 记 录 并 且 必 须 处 理 的 风 险 ( 即 , 处 理 )。 为 此 , 因 为 这 些 安 全 合 规 性 要<br />
求 是 可 执 行 的 , 他 们 需 要 与 安 全 测 试 一 起 记 录 在 案 并 产 生 效 果 。<br />
28