65.9K
CodeProject 正在变化。 阅读更多。
Home

提出正确的问题:渗透测试与漏洞分析工具,哪个更好?

Dennis Hurst
starIcon
emptyStarIcon
starIcon
emptyStarIconemptyStarIconemptyStarIcon

1.33/5 (2投票s)

2007 年 2 月 6 日

CPOL

6分钟阅读

viewsIcon

26765

漏洞分析工具和渗透测试是保护您的 Web 应用程序的重要组成部分。了解 Web 应用程序安全行业如何发展以及如何确保您的应用程序安全。

引言

在过去的几年里,我听到人们问:“我应该使用漏洞分析工具来评估我的基于 Web 的应用程序,还是应该寻求渗透测试?”我认为,作为一个行业,我们可能问错了问题。首先,让我们看看 Web 应用程序行业是如何随着时间的推移而发展的,以及渗透测试是如何扩展以应对这一挑战的。

2000 年之前

2000 年之前,一些公司拥有用于营销的网站,少数公司开始在网上开展一些业务。当然,当时有很多 DotCom 公司在网上销售商品,但真正的“实体”企业只是将 Web 作为一种营销工具。那些懂得安全的实体企业开始要求他们的渗透测试专家检查这些 Web 应用程序。利用一些简单的漏洞分析工具,这些渗透测试专家很好地检查了简单的 Web 应用程序安全问题。当时确实有一些人真正懂得如何测试 Web 应用程序,但人数不多。此时,存在一些开源漏洞分析工具,但市场尚处于起步阶段。

2000 年代初期

在互联网泡沫破灭后,公司实际上开始将 Web 和基于 Web 的应用程序用于内部和外部应用程序。大多数应用程序仍然存在于非 Web 平台之上,但开发人员开始将他们的遗留应用程序迁移到基于 Web 的环境中。开发人员发现创建基于 Web 的应用程序有点复杂,但通过浏览器进行部署却让这一切都变得值得。此外,客户现在希望通过 Web 进行业务交易,因此,公司开始通过 Web 应用程序提供部分服务。

安全通常以两种方式之一来应对这一变化。一种有效的方法是聘请或聘用更多的渗透测试专家,并在所有基于 Web 的应用程序上线前对其进行测试。这在某些情况下是有效的,但通常对渗透测试的支持不足,因此只有关键应用程序被测试,而非关键应用程序则容易受到攻击。另一种方法是在基于 Web 的应用程序上线前对其进行漏洞分析工具评估。这种方法比渗透测试路线的扩展性要好得多,但却经常会错过本应发现的漏洞。

通常,会结合使用独立的漏洞分析工具和渗透测试,以期获得完整的应用程序覆盖。这产生了良好的结果,但大多数安全组织仍然很快被需要评估的 Web 应用程序数量压垮。此外,这种方法通常是在应用程序开发、测试并准备投入生产后才发现漏洞。这经常导致公司在存在漏洞的应用程序上线,或者回退到开发阶段修复问题。

正确的问题(我们现在所处的阶段)

如今,2000 年代初期的问题只会变得更糟。基于 Web 的界面和应用程序的普及已渗透到我们生活和业务的各个方面。随着这种增长,我们不仅看到公司内部的新群体使用基于 Web 的应用程序,而且还看到这些群体正在使用基于 Web 的应用程序来完成他们在计算机上所做的一切。而且这些应用程序也变得越来越复杂。

面对这种环境,许多 Web 应用程序安全专家会问:“我应该使用漏洞分析工具,还是应该聘请更多人员进行渗透测试?”我认为这是个错误的问题。我们应该问的是:“如果我有这么多人在开发基于 Web 的应用程序,我如何让他们以安全的方式进行开发?”参与创建基于 Web 的应用程序的人员需要成为解决方案的一部分,而不是问题的根源。开发人员和 QA 测试人员需要了解如何开发安全的基于 Web 的应用程序,并且需要漏洞分析工具来帮助他们验证他们是否做对了。为开发人员提供自动化的应用程序测试方法,可以帮助他们在流程的早期就发现 Web 应用程序安全问题。

对 QA 专业人员的培训也至关重要。这些专业人员需要知道如何查找基于 Web 的安全问题,然后需要有漏洞分析工具来帮助他们测试安全问题。他们还需要一种方法将这些漏洞分析工具集成到他们现有的缺陷跟踪系统中。这种集成允许跟踪问题,并生成关于开发人员创建的问题类型的指标。

在企业层面,我们需要评估生产环境中应用程序的方法,并从 Web 应用程序安全的角度了解企业的状况。这些测试应包括开发、QA 和生产过程中出现的问题,以及渗透测试将继续生成的深入数据。拥有企业视图可以使高管了解他们的风险所在以及如何恰当地应对这些风险。

至于渗透测试,它将继续是 Web 应用程序安全领域的核心组成部分。事实是,有些 Web 应用程序安全问题是漏洞分析工具无法很好地发现的。这些漏洞分析工具每天都在进步,但距离被认为是“成熟”的产品系列还有很长的路要走。Web 应用程序安全评估行业仍然相当年轻,安全格局变化迅速。

事实上,对渗透测试有经验的人的需求将继续增加。我们需要他们继续进行更多的评估,并进行更深入的评估,而这些评估是漏洞分析工具无法完全执行的。我们还需要他们培训开发人员和 QA 专业人员如何测试基于 Web 的应用程序。Web 应用程序渗透测试仍然是一种罕见的技能,漏洞分析工具无法取代,我们需要创建基于 Web 应用程序的人员更安全地开发应用程序,并帮助开发促进和验证应用程序安全性的流程。

摘要

本文旨在解释为什么人们经常问的“我应该使用渗透测试还是漏洞分析工具来评估我的应用程序”这个问题已经不再有效。这个问题比以往任何时候都更大,答案也比以往任何时候都更复杂。这归结于人员和流程,并且最终是为了使 Web 应用程序安全成为应用程序开发过程的自然组成部分。

© . All rights reserved.