注册
登录
安全审计
.NET Web应用程序的应用程序安全审核?
返回
.NET Web应用程序的应用程序安全审核?
作者:
枫
发布时间:
2025-07-02 06:04:51 (23小时前)
转自:
<div class =“excerpt”> 为了你的建议。 一点 <span class =“result-highlight”> 审计 </跨度> 将是独立验证 <span class =“result-highlight”> 安全 </跨度> 这是由团队实施的。 顺便说一句 - 有几个自动黑客/探测工具来探测应用程序/ Web服务器,但我有点担心它们是否是蠕虫... 任何人都有建议 <span class =“result-highlight”> 安全 </跨度> 审核.NET Web应用程序? 我对所有选择感兴趣。我希望能够通过一些东西来探测我的申请 <span class =“result-highlight”> 安全 </跨度> 风险 </DIV>
收藏
举报
7 条回复
0#
回复此人
12345
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 我开始使用内部应用程序的第一件事就是使用Fortify等工具对代码库进行安全性分析。 </p> <P> 否则,您可能会考虑使用专门从事安全性的第三方公司的服务来测试您的应用程序 </p> </DIV>
编辑
1#
回复此人
哦哦了
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 您遇到的任何人都有以下选择: </p> <OL> <LI> 代码审查, </LI> <LI> 使用工具静态分析代码库, </LI> <LI> 运行时应用程序的动态分析。 </LI> </醇> <P> 米切尔已经指出使用Fortify。事实上,Fortify有两个产品涵盖静态和动态分析领域 - <a href="http://www.fortify.com/products/detect/in_development.jsp" rel="nofollow noreferrer"> SCA </A> (静态分析工具,用于开发)和 <a href="http://www.fortify.com/products/detect/in_testing.jsp" rel="nofollow noreferrer"> PTA </A> (在测试期间执行测试用例时执行应用程序分析)。 </p> <P> 但是,没有任何工具是完美的,您最终可能会出现误报(代码库的碎片,虽然不会被标记为易受攻击)和漏报。只有代码审查才能解决这些问题。代码审查很昂贵 - 并非组织中的每个人都能够在安全专家的眼中审查代码。 </p> <P> 首先,可以从OWASP开始。理解 <a href="http://www.owasp.org/index.php/Category:Principle" rel="nofollow noreferrer"> 安全背后的原则 </A> 在学习之前强烈建议 <a href="http://www.owasp.org/index.php/Category:OWASP_Guide_Project" rel="nofollow noreferrer"> OWASP开发指南 </A> (3.0在草案中; 2.0可以被认为是稳定的)。最后,你可以准备执行 <a href="http://www.owasp.org/index.php/First_sweep_of_the_code_base" rel="nofollow noreferrer"> 首次扫描您的代码库 </A> 。 </p> </DIV>
编辑
2#
回复此人
爱我真好
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 我可以建议你联系 <a href="http://www.artecgroup.net/" rel="nofollow noreferrer"> Artec集团 </A> , <a href="http://www.securitycompass.com/" rel="nofollow noreferrer"> 安全指南针 </A> 和 <a href="http://www.veracode.com/" rel="nofollow noreferrer"> Veracode的 </A> 并查看他们的产品...... </p> </DIV>
编辑
3#
回复此人
如果
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 的<strong> 最好的事情: </强> </p> <UL> <LI> 聘请安全人员进行源代码分析 </LI> <LI> 聘请安全人员/测试公司进行黑盒分析的第二件好事 </LI> </UL> <P> 的<strong> 以下工具将有助于: </强> </p> <UL> <LI> 静态分析工具Fortify / Ounce Labs - 代码审查 </LI> <LI> 考虑诸如HP WebInspects的安全对象(VS.NET插件)之类的解决方案 </LI> <LI> 购买黑盒应用扫描程序,如Netsparker,Appscan,WebInspect,Hailstorm,Acunetix或免费版 <a href="http://www.mavitunasecurity.com/communityedition/" rel="nofollow noreferrer"> Netsparker </A> </LI> </UL> <P> 聘请一些安全专家是一个更好的想法(虽然会花费更多),因为他们不仅会找到自动化工具可能找到的注入和技术问题,他们也会发现所有逻辑问题。 </p> </DIV>
编辑
4#
回复此人
12345
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 测试和静态分析是查找安全漏洞的一种非常糟糕的方法,如果您在整个设计和实现过程中没有考虑安全性,那么这种方法确实是最后的手段。 </p> <P> 问题是你现在正试图枚举你的应用程序失败的所有方法,并拒绝那些(通过修补),而不是试图指定你的应用程序应该做什么,并防止一切不是那样(通过防御性编程) )。由于你的应用程序可能有无限的出错方式,而且只有一些事情要做,所以你应该采取“默认拒绝”的方法,只允许使用好东西。 </p> <P> 换句话说,构建控件以防止整个类别的典型漏洞(例如,参见其他答案中提到的OWASP)无论它们如何出现都比更容易和更有效,而不是寻找哪些特定的搞砸某些版本的代码有。你应该试图证明良好控制的存在(可以做到),而不是缺少坏东西(不能)。 </p> <P> 如果你让某人检查你的设计和安全要求(你究竟想要保护什么?),完全访问代码和所有细节,这将比某种黑盒测试更有价值。因为如果你的设计是错误的,那么你实现它的程度并不重要。 </p> </DIV>
编辑
5#
回复此人
Frui tenebris、
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 我们用过 <a href="http://www.telus.com/security/" rel="nofollow noreferrer"> Telus公司 </A> 为我们进行几次笔测试并对结果印象深刻。 </p> </DIV>
编辑
登录
后才能参与评论
