提供3000多款全球软件/控件产品
针对软件研发的各个阶段提供专业培训与技术咨询
根据客户需求提供定制化的软件开发服务
全球知名设计软件,显著提升设计质量
打造以经营为中心,实现生产过程透明化管理
帮助企业合理产能分配,提高资源利用率
快速打造数字化生产线,实现全流程追溯
生产过程精准追溯,满足企业合规要求
以六西格玛为理论基础,实现产品质量全数字化管理
通过大屏电子看板,实现车间透明化管理
对设备进行全生命周期管理,提高设备综合利用率
实现设备数据的实时采集与监控
利用数字化技术提升油气勘探的效率和成功率
钻井计划优化、实时监控和风险评估
提供业务洞察与决策支持实现数据驱动决策
原创|行业资讯|编辑:郑恭琳|2020-06-17 14:46:34.350|阅读 420 次
概述:我们继续看到大数据泄露影响各种规模的组织。 随着网络安全问题的持续发生,甚至频率和严重性的增加,我们还想知道:“我们下一步?”和“我该怎么办?”这就是OWASP的用武之地。
# 慧都年终大促·界面/图表报表/文档/IDE等千款热门软控件火热促销中 >>
相关链接:
我们继续看到大数据泄露影响各种规模的组织。 随着网络安全问题的持续发生,甚至频率和严重性的增加,我们还想知道:“我们下一步?”和“我该怎么办?”这就是OWASP的用武之地。
OWASP以OWASP Top 10最著名,它是Open Web Application Security Project,这是一个开放社区,提供免费的信息和有关应用程序安全性的培训。OWASP Top 10是Web应用程序的常见危险安全风险列表,并定期更新以保持最新状态。如果您在应用程序安全性方面做得不太好,或者您所做的只是临时的,则OWASP Top 10是一个很好的起点。
今天的OWASP十大漏洞是什么?
OWASP Top 10的最新更新于2017年,其中包括以下漏洞A1-A10:
OWASP提供了前十名的文档,并为每个漏洞专门提供了一个网页。该页面描述了每个漏洞是什么,并提供了风险评分,该评分用于帮助对可能的漏洞进行优先级划分和分类。请参阅下面的页面示例:
页面上的各个部分可帮助您了解每个漏洞的重要性和危险。
该应用程序容易受到攻击吗?
名为“应用程序易受攻击”部分解释了应用程序具有此漏洞的含义,以及哪种工具(DAST,SAST等)可用于发现该特定漏洞。
攻击场景示例
“攻击场景示例”部分显示了攻击者如何利用每个漏洞。此信息可用于帮助构建测试,以及就软件漏洞如何影响应用程序安全性向团队进行教育。
如何预防
“如何预防”部分是最有趣的恕我直言。安全测试很重要,但是构建安全代码是增强应用程序安全性的唯一坚实基础。本节概述了各种策略,这些策略不仅可以通过早期测试,而且可以通过构建从根本上不容易受到攻击的更好的代码来帮助您左移安全性。这是“设计安全性”方法的基础(例如,GDPR要求)。
参考文献
最后,每个Top-10项目都有一个部分,其中包含有关每个问题,避免问题的方法以及测试方法的更多信息。它还包含将导致您遇到相关问题的链接。在您不断提高软件安全性时,这将非常有用。
阅读OWASP Top 10文档时,您可能会发现其中一些仅从名称上就显而易见,而另一些则需要更深入地理解。例如,A1(“注入”)实际上是广泛的集合,例如SQL注入、命令注入、LDAP注入等等。此安全弱点的根本原因是,在应用程序使用用户输入之前,没有对用户输入进行充分的检查和清理。
OWASP Top 10中提供了信息、培训和建议。您可以了解常见的安全问题以及检测甚至完全避免某些问题的策略。所有这些信息都是免费提供的,并且会不断更新和改进。
合规性还意味着我们需要确切了解工具包中的哪个特定项目支持标准的哪个特定部分。在静态分析的情况下,这意味着知道哪些检查者支持标准中的哪些项目,以及标准中是否存在需要静态分析之外的项目(即,对等代码查看或软件组成分析)。
对于软件开发组织来说,从头开始进行安全性保护很容易(并且很危险),可以使用外部、后期周期的全系统测试(例如渗透测试)(我可能将其称为DevTestOpsSec)。当然,此测试非常适合证明应用程序/系统不包含OWASP中列举的任何漏洞。但是,这种黑盒测试并不是实际产生更安全的代码的最有效方法。我们不想依靠黑盒测试来保护我们的软件或发现错误,而是想要使用它来证明该软件是安全的。
因此,如果渗透测试发现漏洞,我们需要问自己为什么,并尝试解决导致该问题的根本原因。这是当我们从“测试安全性”转变为“设计安全性”的时候。为此,您将找到支持OWASP的静态应用程序安全测试(SAST)工具,例如静态代码分析。
值得注意的一点是,OWASP Top 10中的A9项目与其余项目完全不同,并且不适合SAST或DAST,因为它是在寻找开源中的已知漏洞,而不是寻找新漏洞。
幸运的是,OWASP为此提供了一个免费的工具OWASP Dependency Check。该工具可识别项目依赖项并检查是否存在任何已知的、公开披露的漏洞,并可用于扫描应用程序及其依赖库以识别已知的易受攻击的组件。
(如果您使用的是Parasoft,我们实际上将OWASP Dependency Check集成到了我们的报告系统中,并使其成为OWASP Top 10仪表板的一部分。这使得通过扫描作为CI的常规部分来轻松处理开源组件中的问题。与SAST一起使用,并将结果与其他OWASP信息一起放入一个统一的仪表板中。通过这种方法,A9可以与前十名集成,而不必是一个单独的正交过程。
静态分析的好处在于您不需要完成整个应用程序或系统,因此可以在周期的更早阶段开始检查安全问题(向左移动安全测试)。如果您要在开发的后期或即将结束(DevOpsSec)进行安全性保护,则可以在实际编写代码(DevSecOps)之前,甚至在测试开始之前,使用静态分析来推动安全性。
静态分析的丑陋一面是,它以非常嘈杂而著称,例如,当您以为可以发布时,就会产生数百甚至数千个违规。幸运的是,有一些非常好的策略可以解决这个问题。请记住以下几点:
如果您想真正强化您的应用程序,我想强调一些重要的内容。进行安全性测试非常容易,但是要进行安全性测试则更加困难。幸运的是,静态分析检查器具有不同的风格。一些检查器会查找诸如污染数据之类的典型问题,并尝试找出应用程序中是否存在可能发生数据流的地方。这些是许多SAST工具中最常见的检查器。
但是在静态代码分析中,更大的价值在于执行两个特殊操作的检查器:
具有讽刺意味的是,这是安全关键型行业数十年来一直在使用硬件和软件的方法,但是在网络安全方面,我们认为可以将安全性测试到应用程序中,而不必专注于构建安全代码。除早期检测检查程序外,还利用主动静态分析的全部功能来获得最大价值。
如果您从未专注于安全性,那么获得OWASP Top 10并非易事,但这是可以实现的,并且是一个很好的起点。DAST是入门十强的一种简单方法,然后使用SAST将帮助您向左移动安全测试。如果实施得当,SAST甚至可以预防问题,而不仅仅是发现问题,因此,寻找具有检测和预防检查程序的完全符合标准的工具。
了解如何利用OWASP风险评分来帮助确定结果的优先级,并确保您的工具将风险信息与结果一起输出。这将帮助您专注于最重要的方面,这是成功实施OWASP的关键。
使用这些技巧,您应该准备开始消除当今最常见和最危险的Web应用程序安全风险。
本站文章除注明转载外,均为本站原创或翻译。欢迎任何形式的转载,但请务必注明出处、不得修改原文相关链接,如果存在内容上的异议请邮件反馈至chenjj@pclwef.cn
通过提供强大的3D CAD数据访问工具并适用于桌面、移动和Web的高级环境3D可视化发动机,HOOPS在提升造船设计和制造流程的效率方面发挥了重要作用。
HOOPS Luminate在汽车行业中的应用具有广泛的潜力和深远的影响。它通过提供高效的3D可视化、虚拟装配与拆解、性能分析、客户定制等功能,帮助汽车制造商在设计、生产和销售过程中提升效率、降低成本并提高产品质量。
在不断发展的软件开发世界中,使工具和框架与最新的平台版本保持同步至关重要,欢迎查阅~
全球航运业对国际贸易至关重要,全球 90% 以上的商品通过海运运输。准确监控和控制这些集装箱的移动对于维持高效的供应链至关重要。手动输入集装箱号码是这一程序的关键部分,它带来了相当大的挑战,例如人为错误和效率低下。
针对 C/C++ 软件开发提供统一、完全集成的测试解决方案。
Parasoft Jtest用于应用软件开发的集成Java测试工具
Parasoft dotTEST降低C#和VB.NET开发风险,有效地实现符合C#和.NET开发的测试工具的要求
Parasoft Insure++针对C和C++应用程序的运行时内存泄漏检测和内存调试
Parasoft SOAtest人工智能和机器学习赋能 API 和 Web 服务测试
服务电话
重庆/ 023-68661681
华东/ 13452821722
华南/ 18100878085
华北/ 17347785263
客户支持
技术支持咨询服务
服务热线:400-700-1020
邮箱:sales@pclwef.cn
关注我们
地址 : 重庆市九龙坡区火炬大道69号6幢