目前互联网安全领域的问题(2008)
2009-03-19 15:49
344 查看
2009年注定将被证明是在应用安全性领域一个备受关注的时间,就像我们所知道的Web2.0快速发展。 人们将搭上PCI的列车,在更加安全的平台上重写他们的应用,更加重视如何安装的Web应用防火墙等问题。 但是,应用程序的安全性应该有的措施,现在还没有做到。本栏解释在软件安全性测试,质量保证和保护,防止黑客去年还没有做到的地方,今年大家可以往这个方向努力,填补空白。
我们的开发人员在安全性上仍然没有引起重视。
我去年的工作中,和诸多的开发者合开发经理们面谈之后,相信,安全还不是他们最优先考虑的问题。开发商甚至不知道开放万维网应用安全项目( OWASP )或密码和SSL定义应用程序的安全性这些东西,所以这方面我们还有一些工作要做。
我们QA测试测试方面,没有足够强调安全也是整个软件的质量。
我从来没有谈过了质量测试谁实际执行安全检查,谁来执行基本安全验证测试过程和密码控制测试。对于安全一般都会认为这是将来的事情。眼前测试重点是功能和一般可用性。 只要QA测试可以确保代码交付承诺的功能性需求被满足,那么产品就可以发布了。
事实上所有IT专业人员都习惯假设,应用安全在开发和质量控制环节已经得到保证。
有了这些共同的疏忽,很容易安全问题在开发和测试环节就被遗漏。 这种心态不仅是短视的,这是危险的。 应用安全涉及很多其他人,包括网络管理员,数据库管理员,项目经理,安全管理人员,合规人员,甚至是在产品营销。 还需要的管理人员的支持-这的往往是最缺乏的。 管理人员往往不理解安全的价值,并为之付钱。除非及管理人员并考虑对信息技术的安全问题引起引起足够重视严重,否这我们会继续看到与安全有关的事故。 最让我觉得郁闷的是,管理者好像更关注人力资源,市场营销和法律方面人员的意见,而很少向IT部门技术人员咨询这方面的问题。 在IT的声音对于管理者好像并不十分重要。不幸的是,许多在管理者-包括大量的办公人员和内部法律顾问-认为遵守一些基本的政策是足以涵盖安全方面的东西。 这是一个多大的笑话。 我理解是遵守一个复杂的规定需要付出昂贵的代价,但是,这并不意味着它不应该受到重视。 我已经看到企业在许多领域的科技,当遇到合理的要求时,已经开始做应用的安全检查。 我想IT经理认为,应用安全是一个开发部门/质量部门问题,因此不属于IT部门范围。事实上,我仍然可以看到一些组织已经认识到深入应用的安全性评估的价值。许多人这样做并不是因为他们理应遵守合同的原因,而是因为它们的财政审计是告诉他们,他们需要。
我们似乎没有找到一种办法来弥补的最大的弱点。
你有没有注意到,同样的老问题依然存在? 在Web应用安全联盟的Web应用安全统计项目在2007年- 2008年9月发布的一系列流行的Web安全漏洞:跨站点脚本, SQL注入和信息泄漏。 虽然在我的工作中已经很少看见Sql注入了,但这仍然是一个问题。另一方面,跨站点脚本是出现无处不在。 这是现实中每个网站的情况。 这是非常令人难以置信的,因为跨站点脚本的预防措施和修复程序都相对简单 。事实是发布的程序根本没有验证的方式,所以网络钓鱼和恶意软件攻击比以往任何时候都更加恶化。
供应商自能提供安全扫描工具,而不是安全扫描工具的价值。
我认为,惠普收购SPI Dynamics公司和IBM收购Watchfire公司在2007年将真正有助于推动网络漏洞扫描和源代码分析技术的最前沿。但是如果有价值的工具如果在购买它的企业中无法发挥价值,那也白搭。.我是一个大提倡使用商用工具,如WebInspect和Acunetix
做网络漏洞扫描和渗透方面测试,同时使用DevInspect和Checkmarx做静态源代码分析。
我们只是需要更多的人谁认识其价值,并愿意投资于他们。我们没有意识到应用安全评估过程中人肉的作用。正如我喜欢自动化网络漏洞扫描器,他们只告诉大约一半的故事。不幸的是,太多的人依赖于他们的100 %的应用程序的安全性评估;特别是在渗透测试方面。 我真诚地相信,你绝对必须使用手工分析技术对Web应用程序,浏览器插件,客户端服务器应用服务和任何你找到找到安全漏洞的应用。我可以很确切的说我曾经点最大的应用程序安全漏洞,而自动化的漏洞扫描器没有找到。
谁对2009充满期待
尽管我玩世不恭,我还是希望对2009的网络安全做个预测 。老实说,我怀疑2009可能不会有很好的改观,(由于金融危机)现在对资金的项目审批更加严格,和老板要钱越来越难。
虽然如此,我想说得是危机也意味着机遇。
finally -- get caught up on things left undone.(人家用成语咱就不翻译了,用马云的话,阳光灿烂的日子修理屋顶)。
无论是静态源代码分析,黑箱渗透测试,或者仅仅了解安全方面需要做的基本工作,现在正是时候。
About the author: Kevin Beaver is an independent information security consultant, speaker and expert witness with Atlanta-based Principle Logic LLC , where he specializes in performing independent security assessments.
Kevin has authored/co-authored six books on information security, including Hacking For Dummies and Hacking Wireless Networks For Dummies (Wiley).He's also the creator of the
我们的开发人员在安全性上仍然没有引起重视。
我去年的工作中,和诸多的开发者合开发经理们面谈之后,相信,安全还不是他们最优先考虑的问题。开发商甚至不知道开放万维网应用安全项目( OWASP )或密码和SSL定义应用程序的安全性这些东西,所以这方面我们还有一些工作要做。
我们QA测试测试方面,没有足够强调安全也是整个软件的质量。
我从来没有谈过了质量测试谁实际执行安全检查,谁来执行基本安全验证测试过程和密码控制测试。对于安全一般都会认为这是将来的事情。眼前测试重点是功能和一般可用性。 只要QA测试可以确保代码交付承诺的功能性需求被满足,那么产品就可以发布了。
事实上所有IT专业人员都习惯假设,应用安全在开发和质量控制环节已经得到保证。
有了这些共同的疏忽,很容易安全问题在开发和测试环节就被遗漏。 这种心态不仅是短视的,这是危险的。 应用安全涉及很多其他人,包括网络管理员,数据库管理员,项目经理,安全管理人员,合规人员,甚至是在产品营销。 还需要的管理人员的支持-这的往往是最缺乏的。 管理人员往往不理解安全的价值,并为之付钱。除非及管理人员并考虑对信息技术的安全问题引起引起足够重视严重,否这我们会继续看到与安全有关的事故。 最让我觉得郁闷的是,管理者好像更关注人力资源,市场营销和法律方面人员的意见,而很少向IT部门技术人员咨询这方面的问题。 在IT的声音对于管理者好像并不十分重要。不幸的是,许多在管理者-包括大量的办公人员和内部法律顾问-认为遵守一些基本的政策是足以涵盖安全方面的东西。 这是一个多大的笑话。 我理解是遵守一个复杂的规定需要付出昂贵的代价,但是,这并不意味着它不应该受到重视。 我已经看到企业在许多领域的科技,当遇到合理的要求时,已经开始做应用的安全检查。 我想IT经理认为,应用安全是一个开发部门/质量部门问题,因此不属于IT部门范围。事实上,我仍然可以看到一些组织已经认识到深入应用的安全性评估的价值。许多人这样做并不是因为他们理应遵守合同的原因,而是因为它们的财政审计是告诉他们,他们需要。
我们似乎没有找到一种办法来弥补的最大的弱点。
你有没有注意到,同样的老问题依然存在? 在Web应用安全联盟的Web应用安全统计项目在2007年- 2008年9月发布的一系列流行的Web安全漏洞:跨站点脚本, SQL注入和信息泄漏。 虽然在我的工作中已经很少看见Sql注入了,但这仍然是一个问题。另一方面,跨站点脚本是出现无处不在。 这是现实中每个网站的情况。 这是非常令人难以置信的,因为跨站点脚本的预防措施和修复程序都相对简单 。事实是发布的程序根本没有验证的方式,所以网络钓鱼和恶意软件攻击比以往任何时候都更加恶化。
供应商自能提供安全扫描工具,而不是安全扫描工具的价值。
我认为,惠普收购SPI Dynamics公司和IBM收购Watchfire公司在2007年将真正有助于推动网络漏洞扫描和源代码分析技术的最前沿。但是如果有价值的工具如果在购买它的企业中无法发挥价值,那也白搭。.我是一个大提倡使用商用工具,如WebInspect和Acunetix
做网络漏洞扫描和渗透方面测试,同时使用DevInspect和Checkmarx做静态源代码分析。
我们只是需要更多的人谁认识其价值,并愿意投资于他们。我们没有意识到应用安全评估过程中人肉的作用。正如我喜欢自动化网络漏洞扫描器,他们只告诉大约一半的故事。不幸的是,太多的人依赖于他们的100 %的应用程序的安全性评估;特别是在渗透测试方面。 我真诚地相信,你绝对必须使用手工分析技术对Web应用程序,浏览器插件,客户端服务器应用服务和任何你找到找到安全漏洞的应用。我可以很确切的说我曾经点最大的应用程序安全漏洞,而自动化的漏洞扫描器没有找到。
谁对2009充满期待
尽管我玩世不恭,我还是希望对2009的网络安全做个预测 。老实说,我怀疑2009可能不会有很好的改观,(由于金融危机)现在对资金的项目审批更加严格,和老板要钱越来越难。
虽然如此,我想说得是危机也意味着机遇。
finally -- get caught up on things left undone.(人家用成语咱就不翻译了,用马云的话,阳光灿烂的日子修理屋顶)。
无论是静态源代码分析,黑箱渗透测试,或者仅仅了解安全方面需要做的基本工作,现在正是时候。
About the author: Kevin Beaver is an independent information security consultant, speaker and expert witness with Atlanta-based Principle Logic LLC , where he specializes in performing independent security assessments.
Kevin has authored/co-authored six books on information security, including Hacking For Dummies and Hacking Wireless Networks For Dummies (Wiley).He's also the creator of the
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 阿里聚安全年终盘点|2017互联网安全领域十大话题
- 用Windows 2008 R2做工作机遇到的IE的安全问题
- 阿里聚安全受邀参加SFDC安全大会,分享互联网业务面临问题和安全创新实践
- 关于SQL Server 2008的安全机制问题中的SQL Server和Windows身份验证模式
- 最近,WannaCry勒索病毒肆虐全球,不少重要机构和企业的电脑纷纷中招,互联网上再次掀起关于网络安全的讨论。如今互联网技术发展飞速,随之而来的网络安全问题也越来越严重,其中网站遭遇流量攻击是比较突出
- 安卓手机安全--目前需要特别注意的问题
- 互联网上网服务营业场所信息安全管理系统管理端开发过程中的问题
- Linux 小知识翻译 - 「为什么安全是互联网的问题?」
- 聚焦信息安全下的互联网安全问题
- 阿里聚安全受邀参加SFDC安全大会,分享互联网业务面临问题和安全创新实践
- 利用互联网充分调动人的积极性解决各个领域的问题是互联网发展被忽略的另一个方向。
- 目前的估值安全吗?中的问题
- 移动互联网经济超千亿元, 爱加密助App开发者解决安全问题!
- 互联网安全问题
- 阿里聚安全年终盘点|2017互联网安全领域十大话题
- 互联网开发中常见的安全问题
- 当前移动互联网领域重演早期互联网面临问题
- 关于Windows Server 2008下IE不能调整安全级别的问题
- 纽约时报:安全问题将毁掉整个互联网
- 阿里聚安全年终盘点|2017互联网安全领域十大话题