|
兩位應(yīng)用程序安全專(zhuān)家正在研究一種方法,通過(guò)集成應(yīng)用程序數(shù)據(jù)流圖和其他通常由軟件質(zhì)量保證測(cè)試人員使用的信息來(lái)對(duì)Web應(yīng)用程序測(cè)試進(jìn)行優(yōu)化��。
上周三,惠普公司網(wǎng)絡(luò)安全研究小組的Rafal Los和Matt Wood在波士頓舉行的2010年SOURCE會(huì)議上提出了一套新的測(cè)試過(guò)程��。他們表示���,他們提出的新過(guò)程就目前而言過(guò)于復(fù)雜還無(wú)法執(zhí)行�,但最終將合并到一個(gè)自動(dòng)化的工具中�。
Wood說(shuō),“我們正在試圖采用一些人的要素����,并把它更多的融合到掃描工具中”。
Los表示���,在很長(zhǎng)一段時(shí)間內(nèi)����,網(wǎng)絡(luò)應(yīng)用程序滲透測(cè)試人員慢慢的已經(jīng)不能發(fā)揮多大的作用����。網(wǎng)絡(luò)應(yīng)用程序安全掃描工具減少了用來(lái)檢測(cè)和識(shí)別出現(xiàn)在JavaScript、AJAX以及其他現(xiàn)代編碼技術(shù)中漏洞位置的時(shí)間�����,但到目前越發(fā)復(fù)雜的應(yīng)用程序也導(dǎo)致能測(cè)試出的攻擊點(diǎn)越來(lái)越少。
Los說(shuō)����,“在測(cè)試高度復(fù)雜的應(yīng)用程序時(shí)�����,目前的安全分析工具已經(jīng)不夠用了���。網(wǎng)絡(luò)應(yīng)用程序越復(fù)雜����,自動(dòng)化測(cè)試所占的比例就越低���,除非我們能對(duì)其做點(diǎn)什么���。而這正是我們現(xiàn)在所做的事情。”
這兩位研究人員研發(fā)出了一個(gè)他們稱(chēng)為 “基于執(zhí)行流”的方法來(lái)進(jìn)行應(yīng)用程序安全測(cè)試����。他們利用來(lái)自質(zhì)量評(píng)價(jià)測(cè)試員的數(shù)據(jù),來(lái)映射網(wǎng)絡(luò)應(yīng)用程序中所有攻擊點(diǎn)的位置��,以更好地了解一個(gè)應(yīng)用程序怎么發(fā)揮作用,更重要的是����,數(shù)據(jù)流是怎么通過(guò)它的。Los表示����,一旦安全測(cè)試者擁有這些數(shù)據(jù),他們就可以迅速深入探尋一個(gè)特定的區(qū)域�,并找出能造成更多風(fēng)險(xiǎn)的漏洞。
Los說(shuō)���,“質(zhì)量評(píng)價(jià)團(tuán)隊(duì)一般都熟悉被測(cè)試的應(yīng)用程序�,他們測(cè)試的是熟悉實(shí)物中某些理應(yīng)測(cè)試的部分�����。他們會(huì)告訴你��,他們已經(jīng)測(cè)試了整個(gè)應(yīng)用程序的所有功能����。”
這兩位研究人員把他們的處理過(guò)程稱(chēng)作一個(gè)激進(jìn)的測(cè)試方法,其數(shù)據(jù)需求和功能路徑被用于創(chuàng)建一個(gè)執(zhí)行流圖��,以了解一個(gè)應(yīng)用程序的關(guān)鍵業(yè)務(wù)邏輯層。這一過(guò)程將導(dǎo)致以函數(shù)為基礎(chǔ)的自動(dòng)化測(cè)試����。該技術(shù)可以幫助測(cè)試人員識(shí)別改變應(yīng)用程序文檔流的行為,或者改變應(yīng)用程序狀態(tài)的行為���。那些可以修改文檔狀態(tài)的間接流量和外部數(shù)據(jù)���,也被納入其中����。
例如,在一個(gè)支付頁(yè)面中�,Wood說(shuō),“當(dāng)一個(gè)用戶選擇美國(guó)運(yùn)通或Visa時(shí)�����,一個(gè)質(zhì)量評(píng)價(jià)人員會(huì)知道在應(yīng)用程序內(nèi)由于客戶選擇而產(chǎn)生的不同行為�,而掃描工具是不會(huì)知道這些事情的。“由于掃描工具只能在一個(gè)很小攻擊面上識(shí)別錯(cuò)誤���,提供應(yīng)用程序流數(shù)據(jù)就可以幫助“優(yōu)化“掃描工具��,提高整體的測(cè)試效果�����。
使用基于流的威脅分析���,滲透測(cè)試人員就可以知道在應(yīng)用程序中處理信用卡區(qū)域的兩個(gè)漏洞的處理優(yōu)先級(jí)別應(yīng)該高于產(chǎn)品瀏覽區(qū)域的漏洞�����。研究人員表示��,該過(guò)程還可以幫助提高安全性測(cè)試的可靠性�,而程序安全團(tuán)隊(duì)往往要在很短的時(shí)間內(nèi)對(duì)應(yīng)用程序進(jìn)行測(cè)試��。
Los問(wèn)��,“如果你只有24小時(shí)�,并且有250萬(wàn)行代碼需要進(jìn)行功能測(cè)試,那么你如何才能辦到呢����?”
如果有需要服務(wù)器的租用與托管的敬請(qǐng)聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【prubsntakaful.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)���!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商��!15年品質(zhì)保障�����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
