什么是应用程序安全测试?
应用程序安全测试(AST)是通过识别和修复安全漏洞使应用程序对安全威胁更具弹性的过程。
起初,AST是一个手动过程。在现代高速开发过程中,AST必须自动化。企业软件模块化程度的提高、众多开源组件以及大量已知的漏洞和威胁向量都使自动化变得至关重要。大多数组织使用应用程序安全工具的组合来进行AST。
测试应用程序前的关键考虑因素
在正确测试应用程序的安全漏洞之前,以下是关键考虑因素:
1) 创建应用程序的完整清单。
2) 了解应用程序的业务用途、影响和敏感性。
3) 确定要测试哪些应用程序——从面向公众的系统(如web和移动应用程序)开始。
如何测试
在成功测试应用程序的安全漏洞之前,您必须确定以下参数:
1) 身份验证与非身份验证测试——您可以从外部人员的角度(黑盒方法)测试应用程序。然而,执行身份验证测试以发现影响身份验证用户的安全问题具有很大的价值。这可以帮助发现SQL注入和会话操作等漏洞。
2) 使用哪些工具——理想情况下,测试应该包括可以识别源代码中漏洞的工具、可以在运行时测试应用程序安全漏洞的工具以及网络漏洞扫描程序。
测试生产与测试阶段——生产中的测试很重要,因为它可以识别目前威胁组织及其客户的安全问题。然而,生产测试可能会对性能产生影响。测试阶段更容易实现,并允许更快地修复漏洞。
3) 是否在测试时禁用安全系统——对于大多数安全测试,最好禁用防火墙、web应用程序防火墙(WAF)和入侵防御系统(IPS),或者至少将测试工具的IP列入白名单,否则工具可能会干扰扫描。然而,在完全渗透测试中,应保留工具,目标是扫描应用程序,同时避免被检测到。
4) 何时进行测试——通常建议在关闭期间进行安全测试,以避免对生产应用程序的性能和可靠性产生影响。
5) 报告内容——许多安全工具提供与其特定测试领域相关的高度详细的报告,这些报告不可供非安全专家使用。安全团队应从自动化报告中提取最相关的见解,并以有意义的方式向利益相关者呈现。
6) 验证测试——安全测试的一个关键部分是验证补救措施是否成功完成。开发人员仅仅说修复已经修复是不够的。您必须重新运行测试并确保漏洞不再存在,或者以其他方式向开发人员提供反馈。