还剩3页未读,继续阅读
文本内容:
如何评估和使用Web应用程序安全测试工具电脑资料前些日子的安全事件大多与Web应用程序密切相关,许多单位和个人也由此看到了采取必要措施防护Web应用程序安全的重要性,有人认为单位的网站有了Web防火墙的保护就不需要其它保护措施了这是错误的,因为最近的攻击以及将来的攻击将越来越依赖存在于Web应用程序中的缺陷,这些缺陷通常都包含着易于被利用的漏洞据有关数据统计显示,如今多数支持外部访问的应用程序都是基于Web的,而其中的多数又都包含着可被利用的漏洞所以,在将Web应用程序推向实际使用之前,最好先借助Web应用程序渗透工具测试一下目前,这类工具多数都可以执行Web应用程序的自动扫描,它们可以实施一些威胁模式测试,从而揭示一些常见的漏洞,例如许多程序可以揭示Sql注入式攻击漏洞、跨站脚本攻击等有时,这些工具还可以提供一些参数供用户修正所发现的漏洞用户需要在攻击者实施破坏之前先对自己“狠”一点当今的Web渗透测试已经被多数机构看作是一个保障Web应用程序安全的关键步骤,这种安全测试已经成为机构风险的至关重要的部分否则,单位就是将这种“测试”拱手交给了而如今的安全测试市场并没有绝对的标准,所以有必要探讨一些评估和使用这些工具的服务和方法本文所涉及的Web应用程序渗透测试工具也指Web应用程序扫描工具三个要素
1、使用者由于其复杂性,将保障Web应用程序的安全性的责任分配给适当的人员并不是一件简单的事情对开发人员和咨询人员来讲,这可谓是一个新的概念安全管理成员也许更熟悉网络问题,而不是应用程序问题那么,谁来做这件事情呢?笔者认为,由安全专家们实施测试,然后将结果交给开发人员的做法并不明智,甚至难以实施不过,这正是目前许多公司正在使用的方法,至少在开发人员乐意使用这种工具之前是这样的如有的信息安全专家就承担了Web应用程序安全的责任,他们相信维护和保障企业网络安全最终是他们的责任,所以不必由应用程序的开发人员解决漏洞问题如果开发人员说,不要紧,我检查一下,应该没事儿的你怎么办呢?试想如果我们将测试工具将由开发人员使用,他检查出来的安全篇幅又较长,还不把他们给吓坏了?实际上,安全团队可以帮助开发人员使用这种工具安全人员由于具备了专业的知识和技能,也就能够区分安全问题...。