日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

IT是個(gè)有趣的世界，網(wǎng)絡(luò)既是商業(yè)運(yùn)作的關(guān)鍵驅(qū)動(dòng)力又是攻擊者的主要攻擊目標(biāo)。由于攻擊者到處作惡，企業(yè)們也開(kāi)始更加認(rèn)真的對(duì)待應(yīng)用程序安全。根據(jù)OWASP項(xiàng)目組最近進(jìn)行的調(diào)查結(jié)果顯示，四分之一的受訪(fǎng)者計(jì)劃在網(wǎng)絡(luò)應(yīng)用程序安全方面增加開(kāi)支。

網(wǎng)站建設(shè)哪家好，找成都創(chuàng)新互聯(lián)！專(zhuān)注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開(kāi)發(fā)、成都小程序開(kāi)發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶(hù)創(chuàng)新互聯(lián)還提供了射陽(yáng)免費(fèi)建站歡迎大家使用！

這是個(gè)好兆頭，因?yàn)榇_實(shí)存在很多網(wǎng)絡(luò)應(yīng)用程序漏洞，不過(guò)這種狀況也引出一個(gè)問(wèn)題，究竟企業(yè)應(yīng)該如何在應(yīng)用程序開(kāi)發(fā)階段建設(shè)安全性。雖然在開(kāi)發(fā)階段就開(kāi)始建設(shè)安全性聽(tīng)起來(lái)很不錯(cuò)，可是實(shí)施起來(lái)去很復(fù)雜，需要良好的規(guī)劃。

根據(jù)Forrester研究所分析師Mike Gualtieri表示，很多應(yīng)用程序開(kāi)發(fā)小組知道安全問(wèn)題，也考慮過(guò)用戶(hù)驗(yàn)證、授權(quán)和關(guān)鍵數(shù)據(jù)加密等問(wèn)題。不過(guò)這些對(duì)于他們而言，都是難題。

美國(guó)紐約州某法律事務(wù)廳的首席信息安全官，Deborah Snyder曾經(jīng)歷過(guò)因?yàn)檎`解而造成的安全問(wèn)題。

“當(dāng)我第一次談?wù)摪踩_(kāi)發(fā)生命周期的概念的時(shí)候，大家認(rèn)為安全只是訪(fǎng)問(wèn)控制方面的問(wèn)題，”她表示，“安全只是程序開(kāi)發(fā)后加入的東西，或者說(shuō)在開(kāi)發(fā)后半期用于簡(jiǎn)單控制訪(fǎng)問(wèn)該程序或者訪(fǎng)問(wèn)數(shù)據(jù)的東西?！?/p>

早期的時(shí)候，確實(shí)很少有人知道如何在軟件開(kāi)發(fā)周期(SDLC)建立安全，但是后來(lái)大家開(kāi)始了解，安全的SDLC需要適當(dāng)?shù)囊?guī)劃。 “在早期就應(yīng)該建立安全性，因?yàn)檫@樣能夠避免更多的程序漏洞問(wèn)題?！?/p>

Snyder表示，在規(guī)劃階段，根據(jù)重要性和涉及的數(shù)據(jù)類(lèi)型或者將要支持的交易類(lèi)型，該項(xiàng)目小組開(kāi)始對(duì)他們建造的系統(tǒng)或者應(yīng)用程序的重要意義有所了解。隨后會(huì)對(duì)這些進(jìn)行改進(jìn)，并根據(jù)風(fēng)險(xiǎn)級(jí)別提供適當(dāng)?shù)男畔踩L(fǎng)問(wèn)級(jí)別。

確定威脅

SDLC的關(guān)鍵部分就是威脅同步建模。在“使用威脅建模來(lái)開(kāi)發(fā)更安全的應(yīng)用程序”文中，Gualtieri寫(xiě)道威脅建模過(guò)程的第一步就是匯出應(yīng)用程序架構(gòu)的數(shù)據(jù)流圖(DFD)。該圖應(yīng)該能夠說(shuō)明整個(gè)應(yīng)用程序的架構(gòu)組件和組件間流通的數(shù)據(jù)，并描述防火墻或者對(duì)外部系統(tǒng)訪(fǎng)問(wèn)等防御。

只有當(dāng)繪出能夠完整展現(xiàn)架構(gòu)的圖，才能進(jìn)行良好的威脅建模，例如，如果你的應(yīng)用程序存儲(chǔ)信用卡數(shù)據(jù)，如果你不畫(huà)出信用卡的數(shù)據(jù)存儲(chǔ)形狀，就不能正確的為這個(gè)組件分析威脅。

最廣泛使用的威脅建模解決方案包括微軟的SDL威脅建模攻擊，而這種產(chǎn)品的市場(chǎng)不是特別成熟，不過(guò)威脅建模確實(shí)是很重要的。

這些攻擊有一定的局限性，包括它們使用的是預(yù)先確定的情況，無(wú)法適應(yīng)特定的針對(duì)應(yīng)用程序威脅的情況，并且不能將威脅與金融損失相聯(lián)系。

“威脅建模的潛在風(fēng)險(xiǎn)在于，將其作為一次性任務(wù)來(lái)進(jìn)行，并以此為基準(zhǔn)，而不是將其作為風(fēng)險(xiǎn)管理攻擊的重要組件來(lái)納入SDLC中?！?/p>

盡管如此，威脅建模是必要的。在Sony電影娛樂(lè)公司，威脅建模過(guò)程主要是頭腦風(fēng)暴和基于已知漏洞的whiteboarding，并對(duì)不良操作采取最佳解決方案。這樣做能夠很大限度的避免漏洞。“雖然我們做得還不夠完美，不過(guò)我們開(kāi)始逐漸消除各種類(lèi)別的不同漏洞，很多web應(yīng)用程序漏洞是以輸入為基礎(chǔ)的，因此它們往往缺乏基本的驗(yàn)證，這也是我們要求開(kāi)發(fā)人員驗(yàn)證所有進(jìn)入應(yīng)用程序架構(gòu)的東西的原因?！?/p>

存在如此多漏洞的最大原因可能是因?yàn)橛刑啻a存在。

“想想看在應(yīng)用程序中有多少SELECT語(yǔ)句需要進(jìn)入數(shù)據(jù)庫(kù)獲取數(shù)據(jù)，”Gartner分析師Joseph Feiman表示，“可能每一個(gè)SELECT都是SQL注入攻擊的潛在對(duì)象。SELECT語(yǔ)句不會(huì)因此降低，需要處理的數(shù)據(jù)庫(kù)的數(shù)量也不會(huì)減少，因此，你也不能減少對(duì)數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)，而這些也成為SQL注入攻擊的潛在目標(biāo)。”

理想的情況是，應(yīng)用程序安全需要做到這一點(diǎn)，并不是安全審計(jì)員和測(cè)試者來(lái)發(fā)現(xiàn)出95%的漏洞，而是在開(kāi)發(fā)階段就避免掉這些漏洞。

【編輯推薦】

1. Web應(yīng)用程序安全性問(wèn)題本質(zhì)解密
2. 五種常見(jiàn)的ASP.NET應(yīng)用程序安全缺陷
3. 確保PHP應(yīng)用程序安全的四條規(guī)則
4. 理解Web應(yīng)用程序的安全挑戰(zhàn)

分享題目：應(yīng)用程序安全從開(kāi)發(fā)階段開(kāi)始
文章地址：http://www.5511xx.com/article/coojooh.html