AppScan：软件安全的“充电器”

    Billy Hoffman认为近年来越来越多针对Web应用程序展开的攻击，其实与人们过度追捧这些新技术有很大的关系。他认为Web2.0几乎就像又一场"泡沫"，大量的热钱投入。Web2.0的很多技术是很优秀的，然而很多人因为错误的原因（追赶潮流）把客户端的程序换成基于Web的应用程序。

    这种过度追捧导致很多缺乏Web开发经验的人进入这个领域，就像上世纪90年代的"tech boom"一样，很多人在读完几本类似《24小时精通ASP.NET》这样的书之后，开发了一大堆"拷贝、粘贴"式的Web应用程序。然而，这些入门材料的例子并不包含最佳实践，里面的例子往往过于简单，尤其是在安全方面过于草率处理。

    由此带来的近年广泛出现的Web安全问题也就不奇怪了。最近Web应用程序的安全开发和质量保证被提高到新的高度，IBM、HP、Fortify都纷纷推出新的软件安全测试工具，誓要与黑客们展开"大斗法"，究竟"魔高一丈"还是"道高一尺"呢？也许永远也得不到答案。

    作为软件测试人员和质量保证者，我们唯有及时补充自己的安全知识，才能有效保证应用程序的安全，适当借助合适的工具也许能助我们一臂之力。最近IBM发布的AppScan7.8中就包含一个名为"Result Expert"的新特性，其中的Advisory和Fix Recommendation页会详细解释漏洞的相关的知识，可用于教育我们这些缺乏软件安全意识的开发人员，其中的修复建议可以详细到代码层。而测试人员则可以从Request/Response页中学习到安全测试的一些技巧。

    初学软件安全测试的人都会为缺乏实践的环境而烦恼，仅仅看一下书，看一下漏洞描述和攻击过程是无法深入理解安全问题的来龙去脉的，所以最好能结合一些存在漏洞的软件和Web站点进行实践。AppScan附带的Sample是一个名为AltoroJ的J2EE项目，Altoro Mutual是一个包含了一些安全漏洞的Web应用程序，可运行在Tomcat 5.5的服务器上。

原文转自：http://www.ltesting.net