<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span lang="EN-US"><span style="font-family: Calibri;">2009</span></span><span style="">年注定将被证明是在应用安全性领域一个备受关注的时间,就像我们所知道的</span><span lang="EN-US"><span style="font-family: Calibri;">Web2.0</span></span><span style="">快速发展。</span><span style="font-family: Calibri;"> </span><span style="">人们将搭上</span><span lang="EN-US"><span style="font-family: Calibri;">PCI</span></span><span style="">的列车,在更加安全的平台上重写他们的应用,更加重视如何安装的</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用防火墙等问题。</span><span style="font-family: Calibri;"> </span><span style="">但是,应用程序的安全性应该有的措施</span><span lang="EN-US"><span style="font-family: Calibri;">,</span></span><span style="">现在还没有做到。本栏解释在软件安全性测试,质量保证和保护,防止黑客去年还没有做到的地方</span><span lang="EN-US"><span style="font-family: Calibri;">,</span></span><span style="">今年大家可以往这个方向努力</span><span lang="EN-US"><span style="font-family: Calibri;">,</span></span><span style="">填补空白。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们的开发人员在安全性上仍然没有引起重视。</span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我去年的工作中,和诸多的开发者合开发经理们面谈之后,相信,安全还不是他们最优先考虑的问题。开发商甚至不知道开放万维网应用安全项目(</span><span lang="EN-US"><span style="font-family: Calibri;"> OWASP </span></span><span style="">)或密码和</span><span lang="EN-US"><span style="font-family: Calibri;">SSL</span></span><span style="">定义应用程序的安全性这些东西,所以这方面我们还有一些工作要做。</span><span style="font-family: Calibri;"> </span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们</span></strong><strong><span style="" lang="EN-US">QA</span></strong><strong><span style="">测试测试方面,没有足够强调安全也是整个软件的质量。</span></strong><strong><span style=""> </span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我从来没有谈过了质量测试谁实际执行安全检查,谁来执行基本安全验证测试过程和密码控制测试。对于安全一般都会认为这是将来的事情。眼前测试重点是功能和一般可用性。</span><span style="font-family: Calibri;"> </span><span style="">只要</span><span lang="EN-US"><span style="font-family: Calibri;">QA</span></span><span style="">测试可以确保代码交付承诺的功能性需求被满足,那么产品就可以发布了。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">事实上所有</span></strong><strong><span style="" lang="EN-US">IT</span></strong><strong><span style="">专业人员都习惯假设,应用安全在开发和质量控制环节已经得到保证。</span></strong><strong><span style="" lang="EN-US"> </span></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">有了这些共同的疏忽,很容易安全问题在开发和测试环节就被遗漏。</span><span style="font-family: Calibri;"> </span><span style="">这种心态不仅是短视的,这是危险的。</span><span style="font-family: Calibri;"> </span><span style="">应用安全涉及很多其他人,包括网络管理员,数据库管理员,项目经理,安全管理人员,合规人员,甚至是在产品营销。</span><span style="font-family: Calibri;"> </span><span style="">还需要的管理人员的支持</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">这的往往是最缺乏的。</span><span style="font-family: Calibri;"> </span><span style="">管理人员往往不理解安全的价值,并为之付钱。除非及管理人员并考虑对信息技术的安全问题引起引起足够重视严重,否这我们会继续看到与安全有关的事故。</span><span style="font-family: Calibri;"> </span><span style="">最让我觉得郁闷的是,管理者好像更关注人力资源,市场营销和法律方面人员的意见,而很少向</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">部门技术人员咨询这方面的问题。</span><span style="font-family: Calibri;"> </span><span style="">在</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">的声音对于管理者好像并不十分重要。不幸的是,许多在管理者</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">包括大量的办公人员和内部法律顾问</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">认为遵守一些基本的政策是足以涵盖安全方面的东西。</span><span style="font-family: Calibri;"> </span><span style="">这是一个多大的笑话。</span><span style="font-family: Calibri;"> </span><span style="">我理解是遵守一个复杂的规定需要付出昂贵的代价,但是,这并不意味着它不应该受到重视。</span><span style="font-family: Calibri;"> </span><span style="">我已经看到企业在许多领域的科技,当遇到合理的要求时,已经开始做应用的安全检查。</span><span style="font-family: Calibri;"> </span><span style="">我想</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">经理认为,应用安全是一个开发部门</span><span lang="EN-US"><span style="font-family: Calibri;">/</span></span><span style="">质量部门问题,因此不属于</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">部门范围。事实上,我仍然可以看到一些组织已经认识到深入应用的安全性评估的价值。许多人这样做并不是因为他们理应遵守合同的原因,而是因为它们的财政审计是告诉他们,他们需要。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们似乎没有找到一种办法来弥补的最大的弱点。</span></strong><strong><span style="" lang="EN-US"> </span></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">你有没有注意到,同样的老问题依然存在?</span><span style="font-family: Calibri;"> </span><span style="">在</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用安全联盟的</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用安全统计项目在</span><span lang="EN-US"><span style="font-family: Calibri;">2007</span></span><span style="">年</span><span lang="EN-US"><span style="font-family: Calibri;">- 2008</span></span><span style="">年</span><span lang="EN-US"><span style="font-family: Calibri;">9</span></span><span style="">月发布的一系列流行的</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">安全漏洞:跨站点脚本,</span><span lang="EN-US"><span style="font-family: Calibri;"> SQL</span></span><span style="">注入和信息泄漏。</span><span style="font-family: Calibri;"> </span><span style="">虽然在我的工作中已经很少看见</span><span lang="EN-US"><span style="font-family: Calibri;">Sql</span></span><span style="">注入了,但这仍然是一个问题。另一方面,跨站点脚本是出现无处不在。</span><span style="font-family: Calibri;"> </span><span style="">这是现实中每个网站的情况。</span><span style="font-family: Calibri;"> </span><span style="">这是非常令人难以置信的,因为跨站点脚本的预防措施和修复程序都相对简单</span><span style="font-family: Calibri;"> </span><span style="">。事实是发布的程序根本没有验证的方式,所以网络钓鱼和恶意软件攻击比以往任何时候都更加恶化。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><strong><span style=""><span style="font-size: small;">供应商自能提供安全扫描工具,而不是安全扫描工具的价值。</span></span></strong></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我认为,惠普收购</span><span lang="EN-US"><span style="font-family: Calibri;">SPI Dynamics</span></span><span style="">公司和</span><span lang="EN-US"><span style="font-family: Calibri;">IBM</span></span><span style="">收购</span><span lang="EN-US"><span style="font-family: Calibri;">Watchfire</span></span><span style="">公司在</span><span lang="EN-US"><span style="font-family: Calibri;">2007</span></span><span style="">年将真正有助于推动网络漏洞扫描和源代码分析技术的最前沿。但是如果有价值的工具如果在购买它的企业中无法发挥价值,那也白搭。</span><span lang="EN-US"><span style="font-family: Calibri;">.</span></span><span style="">我是一个大提倡使用商用工具,如</span><span lang="EN-US"><span style="font-family: Calibri;">WebInspect</span></span><span style="">和</span><span lang="EN-US"><span style="font-family: Calibri;">Acunetix</span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">做网络漏洞扫描和渗透方面测试,同时使用</span><span lang="EN-US"><span style="font-family: Calibri;">DevInspect</span></span><span style="">和</span><span lang="EN-US"><span style="font-family: Calibri;">Checkmarx</span></span><span style="">做静态源代码分析。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我们只是需要更多的人谁认识其价值,并愿意投资于他们。我们没有意识到应用安全评估过程中人肉的作用。正如我喜欢自动化网络漏洞扫描器,他们只告诉大约一半的故事。不幸的是,太多的人依赖于他们的</span><span lang="EN-US"><span style="font-family: Calibri;">100 </span></span><span style="">%的应用程序的安全性评估</span><span lang="EN-US"><span style="font-family: Calibri;">;</span></span><span style="">特别是在渗透测试方面。</span><span style="font-family: Calibri;"> </span><span style="">我真诚地相信,你绝对必须使用手工分析技术对</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用程序,浏览器插件,客户端服务器应用服务和任何你找到找到安全漏洞的应用。我可以很确切的说我曾经点最大的应用程序安全漏洞,而自动化的漏洞扫描器没有找到。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">谁对</span></strong><strong><span style="" lang="EN-US">2009</span></strong><strong><span style="">充满期待</span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">尽管我玩世不恭,我还是希望对</span><span lang="EN-US"><span style="font-family: Calibri;">2009</span></span><span style="">的网络安全做个预测</span><span style="font-family: Calibri;"> </span><span style="">。老实说,我怀疑</span><span lang="EN-US"><span style="font-family: Calibri;">2009</span></span><span style="">可能不会有很好的改观,(由于金融危机)现在对资金的项目审批更加严格,和老板要钱越来越难。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style=""><span style="font-size: small;">虽然如此,我想说得是危机也意味着机遇。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span lang="EN-US"><span style="font-family: Calibri;">finally -- get caught up on things left undone.</span></span><span style="">(人家用成语咱就不翻译了,用马云的话,阳光灿烂的日子修理屋顶)。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">无论是静态源代码分析,黑箱渗透测试,或者仅仅了解安全方面需要做的基本工作,现在正是时候。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;">About the author: Kevin Beaver is an independent information security consultant, speaker and expert witness with Atlanta-based Principle Logic LLC , where he specializes in performing independent security assessments.</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;">Kevin has authored/co-authored six books on information security, including Hacking For Dummies and Hacking Wireless Networks For Dummies (Wiley).He's also the creator of the </span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们的开发人员在安全性上仍然没有引起重视。</span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我去年的工作中,和诸多的开发者合开发经理们面谈之后,相信,安全还不是他们最优先考虑的问题。开发商甚至不知道开放万维网应用安全项目(</span><span lang="EN-US"><span style="font-family: Calibri;"> OWASP </span></span><span style="">)或密码和</span><span lang="EN-US"><span style="font-family: Calibri;">SSL</span></span><span style="">定义应用程序的安全性这些东西,所以这方面我们还有一些工作要做。</span><span style="font-family: Calibri;"> </span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们</span></strong><strong><span style="" lang="EN-US">QA</span></strong><strong><span style="">测试测试方面,没有足够强调安全也是整个软件的质量。</span></strong><strong><span style=""> </span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我从来没有谈过了质量测试谁实际执行安全检查,谁来执行基本安全验证测试过程和密码控制测试。对于安全一般都会认为这是将来的事情。眼前测试重点是功能和一般可用性。</span><span style="font-family: Calibri;"> </span><span style="">只要</span><span lang="EN-US"><span style="font-family: Calibri;">QA</span></span><span style="">测试可以确保代码交付承诺的功能性需求被满足,那么产品就可以发布了。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">事实上所有</span></strong><strong><span style="" lang="EN-US">IT</span></strong><strong><span style="">专业人员都习惯假设,应用安全在开发和质量控制环节已经得到保证。</span></strong><strong><span style="" lang="EN-US"> </span></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">有了这些共同的疏忽,很容易安全问题在开发和测试环节就被遗漏。</span><span style="font-family: Calibri;"> </span><span style="">这种心态不仅是短视的,这是危险的。</span><span style="font-family: Calibri;"> </span><span style="">应用安全涉及很多其他人,包括网络管理员,数据库管理员,项目经理,安全管理人员,合规人员,甚至是在产品营销。</span><span style="font-family: Calibri;"> </span><span style="">还需要的管理人员的支持</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">这的往往是最缺乏的。</span><span style="font-family: Calibri;"> </span><span style="">管理人员往往不理解安全的价值,并为之付钱。除非及管理人员并考虑对信息技术的安全问题引起引起足够重视严重,否这我们会继续看到与安全有关的事故。</span><span style="font-family: Calibri;"> </span><span style="">最让我觉得郁闷的是,管理者好像更关注人力资源,市场营销和法律方面人员的意见,而很少向</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">部门技术人员咨询这方面的问题。</span><span style="font-family: Calibri;"> </span><span style="">在</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">的声音对于管理者好像并不十分重要。不幸的是,许多在管理者</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">包括大量的办公人员和内部法律顾问</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">认为遵守一些基本的政策是足以涵盖安全方面的东西。</span><span style="font-family: Calibri;"> </span><span style="">这是一个多大的笑话。</span><span style="font-family: Calibri;"> </span><span style="">我理解是遵守一个复杂的规定需要付出昂贵的代价,但是,这并不意味着它不应该受到重视。</span><span style="font-family: Calibri;"> </span><span style="">我已经看到企业在许多领域的科技,当遇到合理的要求时,已经开始做应用的安全检查。</span><span style="font-family: Calibri;"> </span><span style="">我想</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">经理认为,应用安全是一个开发部门</span><span lang="EN-US"><span style="font-family: Calibri;">/</span></span><span style="">质量部门问题,因此不属于</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">部门范围。事实上,我仍然可以看到一些组织已经认识到深入应用的安全性评估的价值。许多人这样做并不是因为他们理应遵守合同的原因,而是因为它们的财政审计是告诉他们,他们需要。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们似乎没有找到一种办法来弥补的最大的弱点。</span></strong><strong><span style="" lang="EN-US"> </span></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">你有没有注意到,同样的老问题依然存在?</span><span style="font-family: Calibri;"> </span><span style="">在</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用安全联盟的</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用安全统计项目在</span><span lang="EN-US"><span style="font-family: Calibri;">2007</span></span><span style="">年</span><span lang="EN-US"><span style="font-family: Calibri;">- 2008</span></span><span style="">年</span><span lang="EN-US"><span style="font-family: Calibri;">9</span></span><span style="">月发布的一系列流行的</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">安全漏洞:跨站点脚本,</span><span lang="EN-US"><span style="font-family: Calibri;"> SQL</span></span><span style="">注入和信息泄漏。</span><span style="font-family: Calibri;"> </span><span style="">虽然在我的工作中已经很少看见</span><span lang="EN-US"><span style="font-family: Calibri;">Sql</span></span><span style="">注入了,但这仍然是一个问题。另一方面,跨站点脚本是出现无处不在。</span><span style="font-family: Calibri;"> </span><span style="">这是现实中每个网站的情况。</span><span style="font-family: Calibri;"> </span><span style="">这是非常令人难以置信的,因为跨站点脚本的预防措施和修复程序都相对简单</span><span style="font-family: Calibri;"> </span><span style="">。事实是发布的程序根本没有验证的方式,所以网络钓鱼和恶意软件攻击比以往任何时候都更加恶化。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><strong><span style=""><span style="font-size: small;">供应商自能提供安全扫描工具,而不是安全扫描工具的价值。</span></span></strong></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我认为,惠普收购</span><span lang="EN-US"><span style="font-family: Calibri;">SPI Dynamics</span></span><span style="">公司和</span><span lang="EN-US"><span style="font-family: Calibri;">IBM</span></span><span style="">收购</span><span lang="EN-US"><span style="font-family: Calibri;">Watchfire</span></span><span style="">公司在</span><span lang="EN-US"><span style="font-family: Calibri;">2007</span></span><span style="">年将真正有助于推动网络漏洞扫描和源代码分析技术的最前沿。但是如果有价值的工具如果在购买它的企业中无法发挥价值,那也白搭。</span><span lang="EN-US"><span style="font-family: Calibri;">.</span></span><span style="">我是一个大提倡使用商用工具,如</span><span lang="EN-US"><span style="font-family: Calibri;">WebInspect</span></span><span style="">和</span><span lang="EN-US"><span style="font-family: Calibri;">Acunetix</span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">做网络漏洞扫描和渗透方面测试,同时使用</span><span lang="EN-US"><span style="font-family: Calibri;">DevInspect</span></span><span style="">和</span><span lang="EN-US"><span style="font-family: Calibri;">Checkmarx</span></span><span style="">做静态源代码分析。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我们只是需要更多的人谁认识其价值,并愿意投资于他们。我们没有意识到应用安全评估过程中人肉的作用。正如我喜欢自动化网络漏洞扫描器,他们只告诉大约一半的故事。不幸的是,太多的人依赖于他们的</span><span lang="EN-US"><span style="font-family: Calibri;">100 </span></span><span style="">%的应用程序的安全性评估</span><span lang="EN-US"><span style="font-family: Calibri;">;</span></span><span style="">特别是在渗透测试方面。</span><span style="font-family: Calibri;"> </span><span style="">我真诚地相信,你绝对必须使用手工分析技术对</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用程序,浏览器插件,客户端服务器应用服务和任何你找到找到安全漏洞的应用。我可以很确切的说我曾经点最大的应用程序安全漏洞,而自动化的漏洞扫描器没有找到。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">谁对</span></strong><strong><span style="" lang="EN-US">2009</span></strong><strong><span style="">充满期待</span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">尽管我玩世不恭,我还是希望对</span><span lang="EN-US"><span style="font-family: Calibri;">2009</span></span><span style="">的网络安全做个预测</span><span style="font-family: Calibri;"> </span><span style="">。老实说,我怀疑</span><span lang="EN-US"><span style="font-family: Calibri;">2009</span></span><span style="">可能不会有很好的改观,(由于金融危机)现在对资金的项目审批更加严格,和老板要钱越来越难。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style=""><span style="font-size: small;">虽然如此,我想说得是危机也意味着机遇。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span lang="EN-US"><span style="font-family: Calibri;">finally -- get caught up on things left undone.</span></span><span style="">(人家用成语咱就不翻译了,用马云的话,阳光灿烂的日子修理屋顶)。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">无论是静态源代码分析,黑箱渗透测试,或者仅仅了解安全方面需要做的基本工作,现在正是时候。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;">About the author: Kevin Beaver is an independent information security consultant, speaker and expert witness with Atlanta-based Principle Logic LLC , where he specializes in performing independent security assessments.</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;">Kevin has authored/co-authored six books on information security, including Hacking For Dummies and Hacking Wireless Networks For Dummies (Wiley).He's also the creator of the </span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
扫一扫
2427
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
