全国咨询热线:136-9172-9932
本章节主要讲解“软件的安全性测试之Web漏洞扫描”的内容,随着因特网的不断发展,人们对网络的使用越来越频繁,通过网络进行购物、支付等其他业务操作。而一个潜在的问题是网络的安全性如何保证,一些黑客利用站点安全性的漏洞来窃取用户的信息,使用户的个人信息泄漏,所以站点的安全性变得很重要。
Web 漏洞扫描,由于开发和设计的原因,可能导致Web 系统存在漏洞,在软件测试过程中可以使用一些自动化扫描工具对Web 系统的漏洞进行扫描。但自动化扫描工具只能检测到部分常见的漏洞(如跨站脚本、SQL 注入等),不是针对用户代码的,也不能扫描业务逻辑,无法对这些漏洞做进一步业务上的判断。而往往最严重的安全问题并不是常见的漏洞,而是通过这些漏洞针对业务逻辑和应用的攻击。
Web 目前分为Application 和Web Service 两部分。Application 指通常意义上的Web 应用;而Web Service 是一种面向服务的架构技术,通过标准的Web 协议(如HTTP、XML、SOAP、WSDL)提供服务。
现在市场上Web 漏洞扫描的工具比较多,如WebInspect、N-Stalker、Acunetix Web VulnerabilityScanner、Rational AppScan 等。下面简单介绍Rational AppScan 工具的使用。
Rational AppScan 是专门面向Web 应用安全检测的自动化工具,是对Web 应用和Web Service进行自动化安全扫描的黑盒工具。它不但可以简化企业发现和修复Web 应用安全隐患的过程(这些工作以往都是由人工进行,成本相对较高,效率低下),还可以根据发现的安全隐患,提出针对性的修复建议,并能形成多种符合法规、行业标准的报告,方便相关人员全面了解企业应用的安全状况。
应用程序开发团队在项目交付前,可以利用Rational AppScan 对所开发的应用程序与服务进行安全缺陷的扫描,自动化检测Web 应用的安全漏洞,从网站开发的起始阶段就扫除Web 应用安全漏洞。
Rational AppScan 的工作流程如图12-5 所示。
本章节关于“软件的安全性测试之Web漏洞扫描”的内容就学习到这里,大家觉得文章有用的话记得每天来这里和小编一起学习涨薪技能。
