漏洞测试 第三方应用安全必不可少

日期: 2014-03-24 作者:Kevin Beaver翻译:蒋红冰 来源:TechTarget中国 英文

随着开发人员引入越来越多的第三方软件组件和合作伙伴API,但对此我们双没有直接的控制权,这样我们如何测试第三方应用的安全性?

在自己的代码中找到并修复缺陷已经很难了,而第三方应用安全却更增加了难度。每年我测试许多本土的Web应用程序安全漏洞,通过渗透测试和分析源代码。这些应用中的许多都含有第三方组件,不可避免地发现一、两个有情况的,并写入报告。

对第三方软件组件进行安全漏洞测试与对自己的软件进行测试其它没什么区别。作为实际测试而言, 唯一的不同是你不能够执行源代码分析,除非它是开放源码软件供你使用。除此之外,只能使用标准的道德黑客方法寻找安全漏洞。寻找SQL注入、会话管理弱点、跨站点脚本和其他常见且存档的软件漏洞。如果你喜欢的话,对自己的代码使用相同的web应用攻击方法。最后,预期的效果(找到并修复漏洞,这样业务风险就可以降低)也一样。

谨记一件事:并只是找出第三方软件组件安全漏洞就可以。真正的挑战是如何说服第三方厂商修复问题。在你的测试中一个关键漏洞可能对厂商或编写代码的开发人员并不那么重要。我经常看到这些。你需要准备一些案例,关于业务风险的。如果你的业务是一个足够大的客户开发人员,那么他们可能接受你的担忧。如果你没有得到这种殊荣,那么你有两个选择:找到替代解决方案并把业务转移到其它地方;或者把你的案例展示给管理者,让他们决定此漏洞对于他们的是否是可接受的风险

Kevin Beaver是位于亚特兰大Principle Logic公司的信息安全咨询师、鉴定专家和专业发言人。具有24年的行业经验,主要从事执行独立网站与应用安全评估,从而降低业务风险。他编著以及合著了11本关于信息安全的书,包括《Hacking For Dummies, 4th edition》和《The Practical Guide to HIPAA Privacy and Security Compliance》。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

作者

Kevin Beaver
Kevin Beaver

Kevin Beaver是一名优秀的信息安全顾问与作者。拥有超过17年的IT工作经验,擅长做信息安全评估。Beaver已经写了五本书,包括《Hacking For Dummies》《Hacking Wireless Networks For Dummies》《The Practical Guide to HIPAA Privacy and Security Compliance》等。

翻译

蒋红冰
蒋红冰

TechTarget云计算主编,主要负责云计算和虚拟化网站的内容建设。长期专注于IT前沿技术,对云计算、虚拟化、人工智能、区块链等技术都有了解;对行业趋势、市场动态有一定的洞察。

相关推荐