linkyou66
- 浏览: 228574 次
- 性别:
- 来自: 杭州
-
文章分类
最新评论
目前互联网安全领域的问题(2008)
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span lang="EN-US"><span style="font-family: Calibri;">2009</span></span><span style="">年注定将被证明是在应用安全性领域一个备受关注的时间,就像我们所知道的</span><span lang="EN-US"><span style="font-family: Calibri;">Web2.0</span></span><span style="">快速发展。</span><span style="font-family: Calibri;"> </span><span style="">人们将搭上</span><span lang="EN-US"><span style="font-family: Calibri;">PCI</span></span><span style="">的列车,在更加安全的平台上重写他们的应用,更加重视如何安装的</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用防火墙等问题。</span><span style="font-family: Calibri;"> </span><span style="">但是,应用程序的安全性应该有的措施</span><span lang="EN-US"><span style="font-family: Calibri;">,</span></span><span style="">现在还没有做到。本栏解释在软件安全性测试,质量保证和保护,防止黑客去年还没有做到的地方</span><span lang="EN-US"><span style="font-family: Calibri;">,</span></span><span style="">今年大家可以往这个方向努力</span><span lang="EN-US"><span style="font-family: Calibri;">,</span></span><span style="">填补空白。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们的开发人员在安全性上仍然没有引起重视。</span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我去年的工作中,和诸多的开发者合开发经理们面谈之后,相信,安全还不是他们最优先考虑的问题。开发商甚至不知道开放万维网应用安全项目(</span><span lang="EN-US"><span style="font-family: Calibri;"> OWASP </span></span><span style="">)或密码和</span><span lang="EN-US"><span style="font-family: Calibri;">SSL</span></span><span style="">定义应用程序的安全性这些东西,所以这方面我们还有一些工作要做。</span><span style="font-family: Calibri;"> </span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们</span></strong><strong><span style="" lang="EN-US">QA</span></strong><strong><span style="">测试测试方面,没有足够强调安全也是整个软件的质量。</span></strong><strong><span style=""> </span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我从来没有谈过了质量测试谁实际执行安全检查,谁来执行基本安全验证测试过程和密码控制测试。对于安全一般都会认为这是将来的事情。眼前测试重点是功能和一般可用性。</span><span style="font-family: Calibri;"> </span><span style="">只要</span><span lang="EN-US"><span style="font-family: Calibri;">QA</span></span><span style="">测试可以确保代码交付承诺的功能性需求被满足,那么产品就可以发布了。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">事实上所有</span></strong><strong><span style="" lang="EN-US">IT</span></strong><strong><span style="">专业人员都习惯假设,应用安全在开发和质量控制环节已经得到保证。</span></strong><strong><span style="" lang="EN-US"> </span></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">有了这些共同的疏忽,很容易安全问题在开发和测试环节就被遗漏。</span><span style="font-family: Calibri;"> </span><span style="">这种心态不仅是短视的,这是危险的。</span><span style="font-family: Calibri;"> </span><span style="">应用安全涉及很多其他人,包括网络管理员,数据库管理员,项目经理,安全管理人员,合规人员,甚至是在产品营销。</span><span style="font-family: Calibri;"> </span><span style="">还需要的管理人员的支持</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">这的往往是最缺乏的。</span><span style="font-family: Calibri;"> </span><span style="">管理人员往往不理解安全的价值,并为之付钱。除非及管理人员并考虑对信息技术的安全问题引起引起足够重视严重,否这我们会继续看到与安全有关的事故。</span><span style="font-family: Calibri;"> </span><span style="">最让我觉得郁闷的是,管理者好像更关注人力资源,市场营销和法律方面人员的意见,而很少向</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">部门技术人员咨询这方面的问题。</span><span style="font-family: Calibri;"> </span><span style="">在</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">的声音对于管理者好像并不十分重要。不幸的是,许多在管理者</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">包括大量的办公人员和内部法律顾问</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">认为遵守一些基本的政策是足以涵盖安全方面的东西。</span><span style="font-family: Calibri;"> </span><span style="">这是一个多大的笑话。</span><span style="font-family: Calibri;"> </span><span style="">我理解是遵守一个复杂的规定需要付出昂贵的代价,但是,这并不意味着它不应该受到重视。</span><span style="font-family: Calibri;"> </span><span style="">我已经看到企业在许多领域的科技,当遇到合理的要求时,已经开始做应用的安全检查。</span><span style="font-family: Calibri;"> </span><span style="">我想</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">经理认为,应用安全是一个开发部门</span><span lang="EN-US"><span style="font-family: Calibri;">/</span></span><span style="">质量部门问题,因此不属于</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">部门范围。事实上,我仍然可以看到一些组织已经认识到深入应用的安全性评估的价值。许多人这样做并不是因为他们理应遵守合同的原因,而是因为它们的财政审计是告诉他们,他们需要。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们似乎没有找到一种办法来弥补的最大的弱点。</span></strong><strong><span style="" lang="EN-US"> </span></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">你有没有注意到,同样的老问题依然存在?</span><span style="font-family: Calibri;"> </span><span style="">在</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用安全联盟的</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用安全统计项目在</span><span lang="EN-US"><span style="font-family: Calibri;">2007</span></span><span style="">年</span><span lang="EN-US"><span style="font-family: Calibri;">- 2008</span></span><span style="">年</span><span lang="EN-US"><span style="font-family: Calibri;">9</span></span><span style="">月发布的一系列流行的</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">安全漏洞:跨站点脚本,</span><span lang="EN-US"><span style="font-family: Calibri;"> SQL</span></span><span style="">注入和信息泄漏。</span><span style="font-family: Calibri;"> </span><span style="">虽然在我的工作中已经很少看见</span><span lang="EN-US"><span style="font-family: Calibri;">Sql</span></span><span style="">注入了,但这仍然是一个问题。另一方面,跨站点脚本是出现无处不在。</span><span style="font-family: Calibri;"> </span><span style="">这是现实中每个网站的情况。</span><span style="font-family: Calibri;"> </span><span style="">这是非常令人难以置信的,因为跨站点脚本的预防措施和修复程序都相对简单</span><span style="font-family: Calibri;"> </span><span style="">。事实是发布的程序根本没有验证的方式,所以网络钓鱼和恶意软件攻击比以往任何时候都更加恶化。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><strong><span style=""><span style="font-size: small;">供应商自能提供安全扫描工具,而不是安全扫描工具的价值。</span></span></strong></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我认为,惠普收购</span><span lang="EN-US"><span style="font-family: Calibri;">SPI Dynamics</span></span><span style="">公司和</span><span lang="EN-US"><span style="font-family: Calibri;">IBM</span></span><span style="">收购</span><span lang="EN-US"><span style="font-family: Calibri;">Watchfire</span></span><span style="">公司在</span><span lang="EN-US"><span style="font-family: Calibri;">2007</span></span><span style="">年将真正有助于推动网络漏洞扫描和源代码分析技术的最前沿。但是如果有价值的工具如果在购买它的企业中无法发挥价值,那也白搭。</span><span lang="EN-US"><span style="font-family: Calibri;">.</span></span><span style="">我是一个大提倡使用商用工具,如</span><span lang="EN-US"><span style="font-family: Calibri;">WebInspect</span></span><span style="">和</span><span lang="EN-US"><span style="font-family: Calibri;">Acunetix</span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">做网络漏洞扫描和渗透方面测试,同时使用</span><span lang="EN-US"><span style="font-family: Calibri;">DevInspect</span></span><span style="">和</span><span lang="EN-US"><span style="font-family: Calibri;">Checkmarx</span></span><span style="">做静态源代码分析。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我们只是需要更多的人谁认识其价值,并愿意投资于他们。我们没有意识到应用安全评估过程中人肉的作用。正如我喜欢自动化网络漏洞扫描器,他们只告诉大约一半的故事。不幸的是,太多的人依赖于他们的</span><span lang="EN-US"><span style="font-family: Calibri;">100 </span></span><span style="">%的应用程序的安全性评估</span><span lang="EN-US"><span style="font-family: Calibri;">;</span></span><span style="">特别是在渗透测试方面。</span><span style="font-family: Calibri;"> </span><span style="">我真诚地相信,你绝对必须使用手工分析技术对</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用程序,浏览器插件,客户端服务器应用服务和任何你找到找到安全漏洞的应用。我可以很确切的说我曾经点最大的应用程序安全漏洞,而自动化的漏洞扫描器没有找到。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">谁对</span></strong><strong><span style="" lang="EN-US">2009</span></strong><strong><span style="">充满期待</span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">尽管我玩世不恭,我还是希望对</span><span lang="EN-US"><span style="font-family: Calibri;">2009</span></span><span style="">的网络安全做个预测</span><span style="font-family: Calibri;"> </span><span style="">。老实说,我怀疑</span><span lang="EN-US"><span style="font-family: Calibri;">2009</span></span><span style="">可能不会有很好的改观,(由于金融危机)现在对资金的项目审批更加严格,和老板要钱越来越难。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style=""><span style="font-size: small;">虽然如此,我想说得是危机也意味着机遇。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span lang="EN-US"><span style="font-family: Calibri;">finally -- get caught up on things left undone.</span></span><span style="">(人家用成语咱就不翻译了,用马云的话,阳光灿烂的日子修理屋顶)。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">无论是静态源代码分析,黑箱渗透测试,或者仅仅了解安全方面需要做的基本工作,现在正是时候。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;">About the author: Kevin Beaver is an independent information security consultant, speaker and expert witness with Atlanta-based Principle Logic LLC , where he specializes in performing independent security assessments.</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;">Kevin has authored/co-authored six books on information security, including Hacking For Dummies and Hacking Wireless Networks For Dummies (Wiley).He's also the creator of the </span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们的开发人员在安全性上仍然没有引起重视。</span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我去年的工作中,和诸多的开发者合开发经理们面谈之后,相信,安全还不是他们最优先考虑的问题。开发商甚至不知道开放万维网应用安全项目(</span><span lang="EN-US"><span style="font-family: Calibri;"> OWASP </span></span><span style="">)或密码和</span><span lang="EN-US"><span style="font-family: Calibri;">SSL</span></span><span style="">定义应用程序的安全性这些东西,所以这方面我们还有一些工作要做。</span><span style="font-family: Calibri;"> </span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们</span></strong><strong><span style="" lang="EN-US">QA</span></strong><strong><span style="">测试测试方面,没有足够强调安全也是整个软件的质量。</span></strong><strong><span style=""> </span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我从来没有谈过了质量测试谁实际执行安全检查,谁来执行基本安全验证测试过程和密码控制测试。对于安全一般都会认为这是将来的事情。眼前测试重点是功能和一般可用性。</span><span style="font-family: Calibri;"> </span><span style="">只要</span><span lang="EN-US"><span style="font-family: Calibri;">QA</span></span><span style="">测试可以确保代码交付承诺的功能性需求被满足,那么产品就可以发布了。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">事实上所有</span></strong><strong><span style="" lang="EN-US">IT</span></strong><strong><span style="">专业人员都习惯假设,应用安全在开发和质量控制环节已经得到保证。</span></strong><strong><span style="" lang="EN-US"> </span></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">有了这些共同的疏忽,很容易安全问题在开发和测试环节就被遗漏。</span><span style="font-family: Calibri;"> </span><span style="">这种心态不仅是短视的,这是危险的。</span><span style="font-family: Calibri;"> </span><span style="">应用安全涉及很多其他人,包括网络管理员,数据库管理员,项目经理,安全管理人员,合规人员,甚至是在产品营销。</span><span style="font-family: Calibri;"> </span><span style="">还需要的管理人员的支持</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">这的往往是最缺乏的。</span><span style="font-family: Calibri;"> </span><span style="">管理人员往往不理解安全的价值,并为之付钱。除非及管理人员并考虑对信息技术的安全问题引起引起足够重视严重,否这我们会继续看到与安全有关的事故。</span><span style="font-family: Calibri;"> </span><span style="">最让我觉得郁闷的是,管理者好像更关注人力资源,市场营销和法律方面人员的意见,而很少向</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">部门技术人员咨询这方面的问题。</span><span style="font-family: Calibri;"> </span><span style="">在</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">的声音对于管理者好像并不十分重要。不幸的是,许多在管理者</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">包括大量的办公人员和内部法律顾问</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">认为遵守一些基本的政策是足以涵盖安全方面的东西。</span><span style="font-family: Calibri;"> </span><span style="">这是一个多大的笑话。</span><span style="font-family: Calibri;"> </span><span style="">我理解是遵守一个复杂的规定需要付出昂贵的代价,但是,这并不意味着它不应该受到重视。</span><span style="font-family: Calibri;"> </span><span style="">我已经看到企业在许多领域的科技,当遇到合理的要求时,已经开始做应用的安全检查。</span><span style="font-family: Calibri;"> </span><span style="">我想</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">经理认为,应用安全是一个开发部门</span><span lang="EN-US"><span style="font-family: Calibri;">/</span></span><span style="">质量部门问题,因此不属于</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">部门范围。事实上,我仍然可以看到一些组织已经认识到深入应用的安全性评估的价值。许多人这样做并不是因为他们理应遵守合同的原因,而是因为它们的财政审计是告诉他们,他们需要。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们似乎没有找到一种办法来弥补的最大的弱点。</span></strong><strong><span style="" lang="EN-US"> </span></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">你有没有注意到,同样的老问题依然存在?</span><span style="font-family: Calibri;"> </span><span style="">在</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用安全联盟的</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用安全统计项目在</span><span lang="EN-US"><span style="font-family: Calibri;">2007</span></span><span style="">年</span><span lang="EN-US"><span style="font-family: Calibri;">- 2008</span></span><span style="">年</span><span lang="EN-US"><span style="font-family: Calibri;">9</span></span><span style="">月发布的一系列流行的</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">安全漏洞:跨站点脚本,</span><span lang="EN-US"><span style="font-family: Calibri;"> SQL</span></span><span style="">注入和信息泄漏。</span><span style="font-family: Calibri;"> </span><span style="">虽然在我的工作中已经很少看见</span><span lang="EN-US"><span style="font-family: Calibri;">Sql</span></span><span style="">注入了,但这仍然是一个问题。另一方面,跨站点脚本是出现无处不在。</span><span style="font-family: Calibri;"> </span><span style="">这是现实中每个网站的情况。</span><span style="font-family: Calibri;"> </span><span style="">这是非常令人难以置信的,因为跨站点脚本的预防措施和修复程序都相对简单</span><span style="font-family: Calibri;"> </span><span style="">。事实是发布的程序根本没有验证的方式,所以网络钓鱼和恶意软件攻击比以往任何时候都更加恶化。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><strong><span style=""><span style="font-size: small;">供应商自能提供安全扫描工具,而不是安全扫描工具的价值。</span></span></strong></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我认为,惠普收购</span><span lang="EN-US"><span style="font-family: Calibri;">SPI Dynamics</span></span><span style="">公司和</span><span lang="EN-US"><span style="font-family: Calibri;">IBM</span></span><span style="">收购</span><span lang="EN-US"><span style="font-family: Calibri;">Watchfire</span></span><span style="">公司在</span><span lang="EN-US"><span style="font-family: Calibri;">2007</span></span><span style="">年将真正有助于推动网络漏洞扫描和源代码分析技术的最前沿。但是如果有价值的工具如果在购买它的企业中无法发挥价值,那也白搭。</span><span lang="EN-US"><span style="font-family: Calibri;">.</span></span><span style="">我是一个大提倡使用商用工具,如</span><span lang="EN-US"><span style="font-family: Calibri;">WebInspect</span></span><span style="">和</span><span lang="EN-US"><span style="font-family: Calibri;">Acunetix</span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">做网络漏洞扫描和渗透方面测试,同时使用</span><span lang="EN-US"><span style="font-family: Calibri;">DevInspect</span></span><span style="">和</span><span lang="EN-US"><span style="font-family: Calibri;">Checkmarx</span></span><span style="">做静态源代码分析。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我们只是需要更多的人谁认识其价值,并愿意投资于他们。我们没有意识到应用安全评估过程中人肉的作用。正如我喜欢自动化网络漏洞扫描器,他们只告诉大约一半的故事。不幸的是,太多的人依赖于他们的</span><span lang="EN-US"><span style="font-family: Calibri;">100 </span></span><span style="">%的应用程序的安全性评估</span><span lang="EN-US"><span style="font-family: Calibri;">;</span></span><span style="">特别是在渗透测试方面。</span><span style="font-family: Calibri;"> </span><span style="">我真诚地相信,你绝对必须使用手工分析技术对</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用程序,浏览器插件,客户端服务器应用服务和任何你找到找到安全漏洞的应用。我可以很确切的说我曾经点最大的应用程序安全漏洞,而自动化的漏洞扫描器没有找到。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">谁对</span></strong><strong><span style="" lang="EN-US">2009</span></strong><strong><span style="">充满期待</span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">尽管我玩世不恭,我还是希望对</span><span lang="EN-US"><span style="font-family: Calibri;">2009</span></span><span style="">的网络安全做个预测</span><span style="font-family: Calibri;"> </span><span style="">。老实说,我怀疑</span><span lang="EN-US"><span style="font-family: Calibri;">2009</span></span><span style="">可能不会有很好的改观,(由于金融危机)现在对资金的项目审批更加严格,和老板要钱越来越难。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style=""><span style="font-size: small;">虽然如此,我想说得是危机也意味着机遇。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span lang="EN-US"><span style="font-family: Calibri;">finally -- get caught up on things left undone.</span></span><span style="">(人家用成语咱就不翻译了,用马云的话,阳光灿烂的日子修理屋顶)。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">无论是静态源代码分析,黑箱渗透测试,或者仅仅了解安全方面需要做的基本工作,现在正是时候。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;">About the author: Kevin Beaver is an independent information security consultant, speaker and expert witness with Atlanta-based Principle Logic LLC , where he specializes in performing independent security assessments.</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;">Kevin has authored/co-authored six books on information security, including Hacking For Dummies and Hacking Wireless Networks For Dummies (Wiley).He's also the creator of the </span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
分享到:
发表评论
相关推荐
工业互联网目前已经广泛应用于电力、 交通、 石油、 取暖、 制造业等关键信息基础设施领域,一旦发生安全事件,往往会造成巨大的损失和广泛... 对于工业互联网安全的分析与防护,需要使用一些专门的方法和专用的技术。
互联网安全囧事儿 通过分析目前的安全漏洞趋势,找出软肋 新兴技术、产品或领域的“空白”安全 如何建立企业、研发、安全研究者与用户的安全生态圈 乌云做了那些努力与成果 希望这些信息可以让互联网安全“老兵”与...
摘要:随着信息化技术网络快速发展,互联网在我们的工作生活中以及科学领域中都在不断的被广泛应用,但是在计算机安全网络给我们带来便利的同时也带来了巨大的难题挑战,关于网络安全问题给我们人身以及财产安全带来...
小编说 近年来,随着大数据成为互联网信息技术行业的流行词汇,教育逐渐被认为是大数据可以大有作为的一个重要应用领域。有人大胆预测,"大数据"将给教育带来革命性的变化。在国内尤其是北京、上海、广东等城市,...
随着传统行业逐步上云带来的存量市场迁移和近年来移动互联网、直播、游戏等行业快速发展带来的增量市场深入,云计算已经进入高速发展阶段。在目前的市场竞争格局下,行业领域和客户群体...那么安全问题尤为重要与突出。
一互联网行业基本情况 (一)互联网行业的发展历程及现状 互联网起源于苏联和美国冷战时期,多应用于国家安全领域,1989年互联网开始商业化应用后得到了飞速的发展,随着计算机硬件、网络宽带的不断改善,互联网...
据智联招聘与360互联网安全中心今年发布的一份报告,中国对网络安全人才的需求在2017年 上半年飙升了232%。但网络安全人才的缺口是70万-140万。信息安全的火热,带动了安全人才的火爆。某知名互联网安全公司甚至抛出...
但大健康领域商业模式不清晰,目前还没有真正的"独角兽"出现。 互联网医疗商业计划书全文共3页,当前为第1页。 互联网医疗商业计划书全文共3页,当前为第1页。 以下是一份互联网医疗商业计划书范文,如有雷同,纯属...
随着业务数字化的发展,已经有越来越多的用户开始在主机安全领域进行布局和规划,目前青藤云安全的客户群体已经覆盖了金融、互联网、运营商、政府等各个行业。青藤云安全提供给用户的不仅是一款产品,而是一整套主机...
随着互联网的普及,计算机和网络正被广泛应用于社会 的各个领域,基于先进的计算机、电子、网络等技术建立起来的信息系统正在改变着人 们的生活、工作方式。如今,信息已经逐步上升为推动经济和社会发展的关键因素。...
步増长期,招聘线上化 立:从目前中国互联网 持续増强,特别是蓝领招聘行业的市场竞争格 招聘的线上化将为互联 局来看,前程无忧、 网招聘平台带来巨大的 BOSS直聘、智联招聘及 机遇,此外,市场主体猎聘综合竞争力...
将各类威胁拦截在系统之外并帮助广大火绒安全软件用户全面拦截阻止流氓软件,该互联网安全软件拥有领先的安全核心技术、EDR运营体系和成熟的产品,能够有效帮助个人和机构全面构建并升级系统安全防线,全方位抵御病毒...
将各类威胁拦截在系统之外并帮助广大火绒安全软件用户全面拦截阻止流氓软件,该互联网安全软件拥有领先的安全核心技术、EDR运营体系和成熟的产品,能够有效帮助个人和机构全面构建并升级系统安全防线,全方位抵御病毒...
1国家安全战略意义 目前,网络信息安全是国家重点发展的项目之一,随着对于互联网的利用,这个非传统的安全领域成为了脆弱的.信息中枢,在保护着国家安全的同时,也受到了极为严密的保护。一般来说,因为网络中对于...
二网络安全领域面临的主要风险和安全隐患1.发现的主要安全隐患 经过对涉及公共信息部分的网络架构与部署的调研发现,网站存在业务数据机密性要 求高、业务连续性要求强、网络结构相对封闭、信息系统架构形式多样等...
因此,计算机网络安全是目前的首要问题。本文着重从以下 几个方面就计算机网络安全进行初步的探讨。 关键词:计算机网络安全;防火墙;病毒 Abstract Since the 21st Century, the high-speed development of human ...
随着科学技术的发展,互联网给人类社会带来了前所未有变化,对经济、文化、生产、生活等人类社会各...在这些问题中,计算机网络安全问题首当其冲,且日益显现,目前比较突出的安全问题是病毒事件侵袭和恶意软件的干扰。
根据CNNIC于2006年发布的中国互联网发布的19次报告显示,有62.1%的用户质疑网络安全性问题。在Internet上进行的电子商务交易过程中,最核心和关键的问题就是交易的安全性,由于Internet本身的开放性,使网上交易...
互联网出现以后,人们的网络活动日见频繁,并随之产生网络文化,网络活动总会有意识或无意识地包含着安全活动。在此基础上,本文提出网络安全文化的概念,它是安全文化和网络文化相互渗透的结果。它继承了安全文化与...
移动支付无疑是目前互联网金融领域最为引人关注的焦点。然而,用户在享受移动支付方便快捷服务的同时,却面临着严峻的安全问题:手机木马、隐私泄露等事件层出不穷,大量具有完整攻击行为的金融支付类病毒,可在远程...