日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
研究人員致力于智能化Web應(yīng)用程序安全掃描工具

兩位應(yīng)用程序安全專家正在研究一種方法,通過(guò)集成應(yīng)用程序數(shù)據(jù)流圖和其他通常由軟件質(zhì)量保證測(cè)試人員使用的信息來(lái)對(duì)Web應(yīng)用程序測(cè)試進(jìn)行優(yōu)化?! ?/p>

上周三,惠普公司網(wǎng)絡(luò)安全研究小組的Rafal Los和Matt Wood在波士頓舉行的2010年SOURCE會(huì)議上提出了一套新的測(cè)試過(guò)程。他們表示,他們提出的新過(guò)程就目前而言過(guò)于復(fù)雜還無(wú)法執(zhí)行,但最終將合并到一個(gè)自動(dòng)化的工具中?! ?/p>

Wood說(shuō),“我們正在試圖采用一些人的要素,并把它更多的融合到掃描工具中”?! ?/p>

Los表示,在很長(zhǎng)一段時(shí)間內(nèi),網(wǎng)絡(luò)應(yīng)用程序滲透測(cè)試人員慢慢的已經(jīng)不能發(fā)揮多大的作用。網(wǎng)絡(luò)應(yīng)用程序安全掃描工具減少了用來(lái)檢測(cè)和識(shí)別出現(xiàn)在JavaScript、AJAX以及其他現(xiàn)代編碼技術(shù)中漏洞位置的時(shí)間,但到目前越發(fā)復(fù)雜的應(yīng)用程序也導(dǎo)致能測(cè)試出的攻擊點(diǎn)越來(lái)越少?! ?/p>

Los說(shuō),“在測(cè)試高度復(fù)雜的應(yīng)用程序時(shí),目前的安全分析工具已經(jīng)不夠用了。網(wǎng)絡(luò)應(yīng)用程序越復(fù)雜,自動(dòng)化測(cè)試所占的比例就越低,除非我們能對(duì)其做點(diǎn)什么。而這正是我們現(xiàn)在所做的事情。”  

這兩位研究人員研發(fā)出了一個(gè)他們稱為 “基于執(zhí)行流”的方法來(lái)進(jìn)行應(yīng)用程序安全測(cè)試。他們利用來(lái)自質(zhì)量評(píng)價(jià)測(cè)試員的數(shù)據(jù),來(lái)映射網(wǎng)絡(luò)應(yīng)用程序中所有攻擊點(diǎn)的位置,以更好地了解一個(gè)應(yīng)用程序怎么發(fā)揮作用,更重要的是,數(shù)據(jù)流是怎么通過(guò)它的。Los表示,一旦安全測(cè)試者擁有這些數(shù)據(jù),他們就可以迅速深入探尋一個(gè)特定的區(qū)域,并找出能造成更多風(fēng)險(xiǎn)的漏洞。   

Los說(shuō),“質(zhì)量評(píng)價(jià)團(tuán)隊(duì)一般都熟悉被測(cè)試的應(yīng)用程序,他們測(cè)試的是熟悉實(shí)物中某些理應(yīng)測(cè)試的部分。他們會(huì)告訴你,他們已經(jīng)測(cè)試了整個(gè)應(yīng)用程序的所有功能。”  

這兩位研究人員把他們的處理過(guò)程稱作一個(gè)激進(jìn)的測(cè)試方法,其數(shù)據(jù)需求和功能路徑被用于創(chuàng)建一個(gè)執(zhí)行流圖,以了解一個(gè)應(yīng)用程序的關(guān)鍵業(yè)務(wù)邏輯層。這一過(guò)程將導(dǎo)致以函數(shù)為基礎(chǔ)的自動(dòng)化測(cè)試。該技術(shù)可以幫助測(cè)試人員識(shí)別改變應(yīng)用程序文檔流的行為,或者改變應(yīng)用程序狀態(tài)的行為。那些可以修改文檔狀態(tài)的間接流量和外部數(shù)據(jù),也被納入其中。  

例如,在一個(gè)支付頁(yè)面中,Wood說(shuō),“當(dāng)一個(gè)用戶選擇美國(guó)運(yùn)通或Visa時(shí),一個(gè)質(zhì)量評(píng)價(jià)人員會(huì)知道在應(yīng)用程序內(nèi)由于客戶選擇而產(chǎn)生的不同行為,而掃描工具是不會(huì)知道這些事情的?!坝捎趻呙韫ぞ咧荒茉谝粋€(gè)很小攻擊面上識(shí)別錯(cuò)誤,提供應(yīng)用程序流數(shù)據(jù)就可以幫助“優(yōu)化“掃描工具,提高整體的測(cè)試效果?! ?/p>

使用基于流的威脅分析,滲透測(cè)試人員就可以知道在應(yīng)用程序中處理信用卡區(qū)域的兩個(gè)漏洞的處理優(yōu)先級(jí)別應(yīng)該高于產(chǎn)品瀏覽區(qū)域的漏洞。研究人員表示,該過(guò)程還可以幫助提高安全性測(cè)試的可靠性,而程序安全團(tuán)隊(duì)往往要在很短的時(shí)間內(nèi)對(duì)應(yīng)用程序進(jìn)行測(cè)試。  

Los問(wèn),“如果你只有24小時(shí),并且有250萬(wàn)行代碼需要進(jìn)行功能測(cè)試,那么你如何才能辦到呢?”

【編輯推薦】

  1. 專為復(fù)雜web環(huán)境設(shè)計(jì)的安全掃描器UnisWebScanner
  2. 看WEB應(yīng)用防火墻的網(wǎng)站整體防護(hù)解決方案

當(dāng)前標(biāo)題:研究人員致力于智能化Web應(yīng)用程序安全掃描工具
瀏覽地址:http://www.dlmjj.cn/article/dpgpocs.html