本论文是一篇信息安全有关论文的格式,关于检测Web应用漏洞需新工具相关本科毕业论文范文。免费优秀的关于信息安全及软件开发及数据库方面论文范文资料,适合信息安全论文写作的大学硕士及本科毕业论文开题报告范文和学术职称论文参考文献下载。
Web应用面临许多漏洞威胁,本文教你如何用专业的工具堵住Web应用漏洞.
过去很长时间,企业保护网站的方法是用Web防火墙来守护网络边界.但人们越来越认识到:真正的威胁在Web应用本身,它们往往含有很容易被人利用的安全漏洞.咨询公司Gartner声称,从公司外部访问网络的应用90%以上是Web应用,其中2/3存在可被利用的漏洞.
这样,新的Web应用渗透测试工具和服务应运而生,它们可对Web应用自动进行扫描,并使用威胁模型和误用案例等方法,查出常见漏洞.不久前,包括开发人员在内的许多人均不熟悉开放Web应用安全项目(OWASP)定义的前十大漏洞,其中包括SQL注射、跨站脚本及错误处理等,但这些测试工具为解决这些问题提出了建议.
伯顿集团的副总裁兼服务主管DianaKelley表示,如今,Web渗透测试被认为是确保应用安全的一个重要组成部分,而应用安全已成了企业风险管理中的一个必要环节.用Gartner的分析师JosephFieman的话来说:“归根到底,这是企业与黑客之间的新较量――不是你主动使用渗透测试工具,就是黑客替你使用渗透测试.”
据Gartner声称,考虑使用这些工具和服务的用户还应考虑到市场将会出现的大规模合并浪潮.合并案可能会出现在各大软件开发生命周期平台(SDLC)提供商和安全厂商中.惠普和IBM这两大巨头各自的质量保证部门已进入了这个市场,分别收购了SPIDynamics和Watchfire公司.
怎么写信息安全本科论文的参考文献
播放:28948次 评论:6122人
以下是首席信息安全官(CISO)和分析师们给出的忠告,教你如何评估及使用这些工具和服务.
需要决策
的关键问题
一、工具将由谁来使用?
分清保护Web应用安全的责任并不是件容易的事情,这对应用开发部门和质量保证部门来说都是个新问题,而安全部门比较习惯处理的是网络问题而不是应用问题.那么谁应该为此负责呢?Fieman认为,让安全专家扫描应用、把扫描结果交给应用开发者并不合适,但许多用户正是这么做.
比如,美国国际开发署(USAID)的首席信息安全官PhilHeneghan承担了确保Web应用安全的重任,他认为最终任务是保护企业的安全,比较明智的做法是让应用开发人员之外的人评估应用的漏洞.他说:“如果开发人员说‘别担心.我检查过了,应用没问题’,人们可能会盲目地觉得情况很乐观.”
同样,NAV加拿大公司的首席安全官AndreHiotis在一年多前购买了惠普/SPIDynamics公司的应用漏洞扫描产品WebInspect,但只有开发人员提出要求后才会部署到桌面上.他说,要是一开始把该工具提供给开发人员使用,他们准会被工具生成的大量信息搞得不知所措.实际上,他的团队花时间学习使用该工具,现在让开发人员使用该工具时,就能为他们提供帮助.安全人员也更能够优先处理及编辑这款工具生成的大量报告.Hiotis说:“如果开发人员看到有100处地方需要修复,一般无法判断哪些具有高风险、中等风险或者低风险.”
二、使用服务还是工具,或者两者都用?
你可以买来工具、专门投入人力资源来对Web应用进行漏洞测试,也可以让厂商远程扫描自己的Web应用,验证扫描结果,并得出有针对性的报告.大多数厂商现在都提供这两种选择,唯独WhiteHat只提供基于服务的方案.Kelley说:“出于控制、管理及隐私等方面的考虑,许多公司希望在公司内部自个进行测试,不过扫描服务的市场也在不断发展壮大.”
而有些公司决定两者都用.比如,一家大型医疗组织不愿透露姓名的信息安全经理发现缺少人手来管理生成的大量数据后,暂时停止了自己使用WebInspect.他说:“你需要有人来判断扫描的结果,消除误报,并Ç
13888888888
点击咨询 