Billy Hoffman认为近年来越来越多针对Web应用程序展开的攻击,其实与人们过度追捧这些新技术有很大的关系。他认为Web2.0几乎就像又一场"泡沫",大量的热钱投入。Web2.0的很多技术是很优秀的,然而很多人因为错误的原因(追赶潮流)把客户端的程序换成基于Web的应用程序。
这种过度追捧导致很多缺乏Web开发经验的人进入这个领域,就像上世纪90年代的"tech boom"一样,很多人在读完几本类似《24小时精通ASP.NET》这样的书之后,开发了一大堆"拷贝、粘贴"式的Web应用程序。然而,这些入门材料的例子并不包含最佳实践,里面的例子往往过于简单,尤其是在安全方面过于草率处理。
由此带来的近年广泛出现的Web安全问题也就不奇怪了。最近Web应用程序的安全开发和质量保证被提高到新的高度,IBM、HP、Fortify都纷纷推出新的软件安全测试工具,誓要与黑客们展开"大斗法",究竟"魔高一丈"还是"道高一尺"呢?也许永远也得不到答案。
作为软件测试人员和质量保证者,我们唯有及时补充自己的安全知识,才能有效保证应用程序的安全,适当借助合适的工具也许能助我们一臂之力。最近IBM发布的AppScan7.8中就包含一个名为"Result Expert"的新特性,其中的Advisory和Fix Recommendation页会详细解释漏洞的相关的知识,可用于教育我们这些缺乏软件安全意识的开发人员,其中的修复建议可以详细到代码层。而测试人员则可以从Request/Response页中学习到安全测试的一些技巧。
初学软件安全测试的人都会为缺乏实践的环境而烦恼,仅仅看一下书,看一下漏洞描述和攻击过程是无法深入理解安全问题的来龙去脉的,所以最好能结合一些存在漏洞的软件和Web站点进行实践。AppScan附带的Sample是一个名为AltoroJ的J2EE项目,Altoro Mutual是一个包含了一些安全漏洞的Web应用程序,可运行在Tomcat 5.5的服务器上。
文章来源于领测软件测试网 https://www.ltesting.net/
