• 软件测试技术
  • 软件测试博客
  • 软件测试视频
  • 开源软件测试技术
  • 软件测试论坛
  • 软件测试沙龙
  • 软件测试资料下载
  • 软件测试杂志
  • 软件测试人才招聘
    暂时没有公告

字号: | 推荐给好友 上一篇 | 下一篇

AppScan:软件安全的“充电器”

发布: 2009-4-13 10:03 | 作者: 网络转载 | 来源: 测试时代采编 | 查看: 371次 | 进入软件测试论坛讨论

领测软件测试网 AppScan Web2.0、AJAX、RIA这些技术给我们带来更好的用户体验,给我们的网络生活带来更多的精彩的同时,也给黑客们更多展开攻击的机会。

    Billy Hoffman认为近年来越来越多针对Web应用程序展开的攻击,其实与人们过度追捧这些新技术有很大的关系。他认为Web2.0几乎就像又一场"泡沫",大量的热钱投入。Web2.0的很多技术是很优秀的,然而很多人因为错误的原因(追赶潮流)把客户端的程序换成基于Web的应用程序。

    这种过度追捧导致很多缺乏Web开发经验的人进入这个领域,就像上世纪90年代的"tech boom"一样,很多人在读完几本类似《24小时精通ASP.NET》这样的书之后,开发了一大堆"拷贝、粘贴"式的Web应用程序。然而,这些入门材料的例子并不包含最佳实践,里面的例子往往过于简单,尤其是在安全方面过于草率处理。

    由此带来的近年广泛出现的Web安全问题也就不奇怪了。最近Web应用程序的安全开发和质量保证被提高到新的高度,IBM、HP、Fortify都纷纷推出新的软件安全测试工具,誓要与黑客们展开"大斗法",究竟"魔高一丈"还是"道高一尺"呢?也许永远也得不到答案。

    作为软件测试人员和质量保证者,我们唯有及时补充自己的安全知识,才能有效保证应用程序的安全,适当借助合适的工具也许能助我们一臂之力。最近IBM发布的AppScan7.8中就包含一个名为"Result Expert"的新特性,其中的Advisory和Fix Recommendation页会详细解释漏洞的相关的知识,可用于教育我们这些缺乏软件安全意识的开发人员,其中的修复建议可以详细到代码层。而测试人员则可以从Request/Response页中学习到安全测试的一些技巧。

    初学软件安全测试的人都会为缺乏实践的环境而烦恼,仅仅看一下书,看一下漏洞描述和攻击过程是无法深入理解安全问题的来龙去脉的,所以最好能结合一些存在漏洞的软件和Web站点进行实践。AppScan附带的Sample是一个名为AltoroJ的J2EE项目,Altoro Mutual是一个包含了一些安全漏洞的Web应用程序,可运行在Tomcat 5.5的服务器上。

延伸阅读

文章来源于领测软件测试网 https://www.ltesting.net/

TAG: AppScan 软件 充电器

31/3123>

关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073

软件测试 | 领测国际ISTQBISTQB官网TMMiTMMi认证国际软件测试工程师认证领测软件测试网