• 软件安全性服务


    • .比較常见的安全性漏洞:

    1、后门,程序猿为了方便自己维护。会留一些后门,但 是easy成为攻击的漏洞。

    2、在源码里会有站点地址遗漏。会被黑客利用。绕过防火墙, 直接攻击后台。

    3、exceptions,我们在敲代码的时候,难免的一些潜在漏洞,也easy成为被攻击的目标。

    • 几种安全性服务方式和特点:

    软件安全性服务

    位置

    移动设

    网络/互联网

    防火墙

    主机

    提供的安全性

    服务

    代码扫描

    拦截移动交流、

    仿真动态測试

    网络渗透測试

    主机渗透试验

    能否够远程

    遥控

    能够,在香港代

    码扫描

    不,必须在现场

    是的,能够从香

    港远程

    不,必须在现

    效益

    最具成本效益

    •  什么是代码扫描:

    对移动 APP 来讲,保证安全性最有效的方法。是对 app 的源码进行扫描和审查。

    怎么做呢?客户提供源码,我们用自己主动化工具扫描。它会给出一个对应的报告,报告的内容都不是全都对的。有时候机器认定的问题并非问题。

    由此我们的project师会对扫描

    出来的结果进行辨别:哪些是正确的?

    这些做完以后,我们会把缺陷按优先级进行排列,形成一个报告发给客户。然后客户须要与开发者进行多轮讨论:对这个报告中的结果是否认同?

    为什么用代码比动态測试找出问题更有效果?与我们做寻常软件測试的概念一样。 从扫 描源码中找出问题的深度和广度,都比动态測试更好。

    而用动态測试去測某个 APP 与server的互动,因为非常多漏洞藏在 code 里。它们非常隐蔽, 通常到某个时间,某个条件。才会触动。

    这个无法用动态測试測出。可是能够非常easy用代码 扫描或评审找出来。

    l       费用:

    代码扫描,首先会根据客户代码的大小、须要经过多少轮来进行人天的估算,费用会根

    据这个产生。

    扫描代码。根据这个去推断过滤,分优先级,做出报告给客户确认讨论,在与开发者

    沟通方面会花费较多的时间(看是否沟通顺利)。比如:银行的客户,代码大概是 50  万行的 规模。我们用 5 到 6 人天的时间,帮他完毕这类服务。

    假设不方便提供整个源码,能够提供关键的代码进行扫描。

    由于是用扫描器。所以可 以不用所有的代码。

  • 相关阅读:
    win10如何将现有的桌面壁纸找出来
    js 显示网站当前访客是几位访客
    SELECT DISTINCT 取列中所有不重复的值
    mysql5.6和8.0中都没有len()函数,获取字符串长度的函数是length()
    TOP 子句用于规定要返回的记录的数目。
    sqlmap提示you haven't updated sqlmap for more than 126 days!!!
    利用代码生成a-z的所有字母的指定长度的组合字典
    生成图形验证码 将图形验证码流写到前台
    JDK历史版本
    mysql 数据库隔离级别
  • 原文地址:https://www.cnblogs.com/gccbuaa/p/6920406.html
Copyright © 2020-2023  润新知