本文深入探讨了Web应用安全测试的三种关键技术:DAST、SAST和IAST。DAST是广泛应用的黑盒测试方法,SAST在开发阶段对源代码进行安全检测,而IAST结合两者优点,提供更高的测试精度和定位能力。三种技术各有优劣,适用场景不同,如DAST适合线上监控,SAST适合开发阶段,IAST适合测试阶段。
一、全球面临软件安全危机
我们即将处于一个软件定义一切的时代,这是 “一个最好的时代,也是一个最坏的时代”。
无论是生活中离不开的通讯、支付、娱乐、餐饮、出行,以及医疗,还是国防领域中的火箭、导弹、卫星等,都离不开软件技术。然而,软件技术在促进社会发展的同时,也可能因为漏洞问题危害人们的个人隐私信息、财产安全甚至生命安全,这类案例不胜枚举。
- 2010年,大型社交网站rockyou.com被曝存在SQL注入漏洞,黑客利用此漏洞获取到3200万用户记录(包括E-mail、姓名及明文形式的密码)。
- 2015年,英国电话和宽带供应商TalkTalk被一名15岁的黑客利用SQL注入漏洞进行攻击,四百万TalkTalk客户的姓名、地址、出生日期、和信用卡/银行详细信息被黑客窃取。
- 2018年,台湾一男子利用花旗银行信用卡业务系统漏洞,刷卡消费达6300余万元(新台币约合人民币1345万元),花旗银行已通过司法途径,向该名客户求偿。
软件技术的发展与应用伴随着巨大的安全危机,解决软件漏洞问题是软件开发从业者和安全从业者们迫在眉睫的任务。
二、什么是Web应用安全测试技术?
为了发现软件的漏洞和缺陷,确保Web应用程序在交付之前和交付之后都是安全的&#x
订阅专栏 解锁全文
461
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
