在最近的一篇题为“ 揭穿神话:渗透测试是浪费时间 ”的文章中,罗希特·塞西(Rohit Sethi)研究了如今通常进行被动和不负责任的方式进行应用笔测试的一些弊端:等到系统准备就绪才能上线,聘请外部公司或顾问,给他们短时间尝试破解,修复他们发现的重要问题,或者重新测试以获得通过的等级,现在您的系统已“通过安全认证”。
这样的测试“不会告诉您:
- 对您的应用程序有哪些潜在威胁?
- 您的应用程序“不易受到攻击”到哪些威胁?
- 测试人员没有针对您的申请评估哪些威胁? 从运行时的角度来看,无法测试哪些威胁?
- 时间和测试的其他限制因素如何影响结果的可靠性? 例如,如果测试人员还有5天,他们还将执行其他哪些安全测试?
- 测试人员的技能水平是多少,您会从其他测试人员或另一家咨询公司获得相同的结果吗?”
Sethi强调了为笔测试设定期望和定义要求的重要性。 外部笔测试人员将无法充分理解您的业务需求或系统内部知识,无法完成一项全面的工作–除非您的应用程序是另一个用PHP或Ruby on Rails编写的简单易懂的在线门户或网络商店,他们已经看过很多次了。 您应该假设笔测试人员会错过某些东西,可能很多,并且无法知道他们没有测试什么,或者他们实际上在测试中所做的工作多么出色。 您可以尝试进行缺陷植入,以了解它们的谨慎程度和智能程度(以及未发现的错误数量),但这是假设您对系统以及安全性和安全性测试了解得非常多(如果您很好,您可能不需要他们的帮助)。 在测试过程中打开代码覆盖率分析将告诉您未触及代码的哪些部分–但这无法帮助您识别未编写但应编写的代码,这通常是一个更大的问题涉及安全性。
您不能期望笔测试人员能够找到系统中的所有安全漏洞,即使您愿意花大量时间和金钱在系统上。 但是笔测试很重要,因为这是一种查找您自己很难找到的东西的方法:
- 特定于技术和特定于平台的漏洞
- 运行时环境中的配置和部署错误
- 身份验证和会话管理等方面的尖顶问题,您所使用的框架应解决,如果它可以正常工作,以及是否正确使用它,
- 信息泄漏,对象枚举和错误处理方面的棘手问题-对您来说看起来很小的问题,但聪明却有进取心的攻击者可以利用这些问题,将他们放在一边
- 数据验证或输出编码和过滤中的错误对您来说似乎很小,但是……
而且,如果您幸运的话,还应该自己解决一些其他问题,而这些问题却没有,例如工作流程或访问控制或密码管理中的弱点或竞争状况。
笔测试与信息有关,与漏洞无关
笔测试或任何其他类型的测试的真正目的不是要找到系统中的所有错误。 它是为了获取信息 。
- 有关需要检查和修复的应用程序中的错误示例 ,发现方式以及严重程度的信息。
- 您可以使用这些信息来校准开发实践和控制,以了解您在构建软件方面的优劣。
测试不能提供所有可能的信息,但是可以提供一些信息。 良好的测试将提供许多有用的信息。
詹姆斯·巴赫(满意)
这些信息引发了以下问题:代码中可能还存在其他类似的错误? 我们还应该在其他地方寻找错误,代码或设计中还可能存在哪些其他类型的错误或弱点? 这些错误最初来自何处? 我们为什么会犯这个错误? 我们不知道什么或我们不了解什么? 我们为什么不早点发现问题? 我们需要做些什么来预防或将来捕获它们? 如果错误足够严重,或者存在足够多,那么这意味着要一直进行RCA和诸如5为何理解和解决根本原因之类的练习。
为了获得高质量的信息,您需要与笔测试仪共享信息。 给笔测试器尽可能多的信息
- 使用笔测试仪浏览应用程序,突出显示重要功能并提供文档
- 花时间解释架构和平台
- 分享以前的笔测结果
- 提供代理后面等的访问
要求他们提供信息:请他们解释他们的发现,他们的方法,他们尝试了什么,他们在测试中涵盖了哪些内容,没有做什么,他们花费了大部分时间,遇到了什么问题以及他们在哪里浪费时间,让他们感到困惑和惊奇的地方。 您可以使用这些信息来改进自己的测试,并在将来使笔测试更加有效。 聘用笔测试仪时,您需要支付信息。 但是,您有责任获得尽可能多的良好信息,以理解并正确使用它。
翻译自: https://www.javacodegeeks.com/2013/04/penetration-testing-shouldnt-be-a-waste-of-time.html
159
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
