当测试人员在进行软件安全测试,发现了安全漏洞时,他们要如何管理,并区分这些漏洞的优先级?
在软件中发现安全缺陷是一件事,而确保问题处理行当确是另外一件事。我执行的许多渗透测试和web安全评估中,我发现处理这类问题极具挑战。发现漏洞,并把具体发现和解决方案以正式执行的形式存档。虽然解决方案还未完成,包括给高级安全问题的解决方案,如SQL注入、跨站脚本和缺乏安全套接层,以及登录信息泄漏。这与束之高阁的软件和示实现的安全控制并无两样。
过了审查阶段,第二重要的阶段就是软件安全测试部分。如果你跳过这一部分,那么测试流程只会创建更多的债务,而不是解决债务。一旦接收了来自大咨询师或没无法改变的现的成报告后,你以及负责任的一方就必须决定出什么是需要解决的。即使所发现的已经区分优先级,但没有人会像你的团队那样了解你的环境、文化以及风险承受能力。
显然,你不可能修复所有事情,但你却可以修复你的业务中出现的重要的问题。我建议把你的发现分成两类:一类是关键的,这些问题可能当即就被利用,对业造成损害;另一类是非关键的,这些可能一些被利用的问题,可能不好的实践,尤其结合一些其它的发现。你可以根据他们对敏感信息的风险,解决的难易度(时间、复杂性等),以及组织上的其它标准一些来区分优先级。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
Kevin Beaver是一名优秀的信息安全顾问与作者。拥有超过17年的IT工作经验,擅长做信息安全评估。Beaver已经写了五本书,包括《Hacking For Dummies》《Hacking Wireless Networks For Dummies》《The Practical Guide to HIPAA Privacy and Security Compliance》等。
翻译
相关推荐
-
软件安全专家并非都靠谱 实践才是硬道理
近期一项调查显示,软件专家能够对应用安全的概念有基本了解,但是,他们却无法修复由此所引发的安全问题。
-
漏洞测试 第三方应用安全必不可少
随着开发人员引入越来越多的第三方软件组件和合作伙伴API,但对此我们双没有直接的控制权,这样我们如何测试第三方应用的安全性?