от
Что касается гибкой разработки, каковы лучшие практики для тестирования безопасности за выпуск? Если это ежемесячный выпуск, там магазины делают Пен-тестов каждый месяц?

Ваш ответ

Отображаемое имя (по желанию):
Конфиденциальность: Ваш электронный адрес будет использоваться только для отправки уведомлений.

5 Ответы

0 голосов
от
Что касается гибкой разработки, каковы лучшие практики для тестирования безопасности за выпуск? Если это ежемесячный выпуск, там магазины делают Пен-тестов каждый месяц?
0 голосов
от
Что ваш домен приложения? Это зависит от того. Поскольку вы употребили слово "Проворный", я предполагаю, что это веб-приложение. У меня есть хороший ответ для вас. Купить копию отрыжка Люкс (это #1 результат в Google для "отрыжка" --- верное утверждение!); это будет стоить вам 99EU, или ~$180USD, или 98 долларов Обама, Если вы будете ждать до ноября. Отрыжка работает как веб-прокси. При просмотре через веб-приложение, с помощью Firefox или IE или любой другой, и он собирает все хиты вы производите. Эти хиты скормили функцию под названием "нарушителя", который является веб-fuzzer. Нарушитель будет выяснить все параметры, которые вы предоставляете каждом из обработчиков запроса. Затем он сумасшедший значений для каждого параметра, включая SQL, файловая система, и HTML метасимволы. На типичной сложной формы, это будет генерировать около 1500 хитов, которые вы будете просматривать их, выявлять страшно --- или, что более важно в гибкой связи --- сообщения об ошибках. Фаззинг каждый обработчик запроса в веб-приложении на каждой итерации выпуск #1, что вы можете сделать, чтобы улучшить безопасность приложения без введения формального "ЦРС" и увеличения штата. Помимо этого, в коде веб-приложения горячих точках безопасности: Используйте только параметризованные подготовленных инструкций SQL; никогда не просто конкатенации строк и кормить их к Ваш дескриптор базы данных. Фильтра все входы в белый список хорошо известные персонажи (alnum, основные знаки препинания), и, что более важно, выходной фильтр данных из результатов запроса, чтобы "нейтрализовать" в HTML специальные символы в HTML-сущности (я, ЛТ, ГТ, и т. д.). Используйте длинные случайные трудно угадать идентификаторы в любом месте вы в настоящее время с помощью простых целочисленных идентификаторов строк в параметры запроса, и убедиться, что пользователь X может не видеть данные пользователь y просто угадать эти идентификаторы. Каждый тест обработчик запроса в ваше приложение, чтобы убедиться, что они функционируют только при предъявлении действительного, вошедшего в систему сессии куки. Включение защиты XSRF в веб-стек, который будет генерировать скрытой форме параметры маркера на все оказанные формы, чтобы защититься от создания вредоносных ссылок, которые будут представлять формы для ничего не подозревающих пользователей. Использовать файлом bcrypt --- и ничего --- хранить хэши паролей.
0 голосов
от
Я не эксперт по гибкой разработке, но я могу представить, что интегрирование некоторых базовых автоматизированных ручка-тестирование программного обеспечения на ваш цикл сборки будет хорошим началом. Я видел несколько пакетов программного обеспечения, что там делать базовое тестирование и хорошо подходят для автоматизации.
0 голосов
от
Я не эксперт по безопасности, но я думаю, что самое главное, вы должны знать, прежде чем тестирование безопасности, является то, что вы пытаетесь защитить. Только если вы знаете, что вы пытаетесь защитить, можно сделать правильный анализ ваших мер безопасности и только потом вы можете начать тестирование реализованных мер. Очень абстрактно, я знаю. Однако, я думаю, что это должно быть первым шагом каждого аудита безопасности.
0 голосов
от
Модульное тестирование, защита программ и большое количество журналов Модульное тестирование Убедитесь, что вы модульного тестирования как можно раньше (например, пароль должен быть зашифрован перед отправкой, туннель SSL работает и т. д.). Это позволит предотвратить ваши программисты от случайного выполнения программы небезопасной. Обороны Программирования Я лично называю это паранойей программирования, но Википедия никогда не ошибается (сарказм). В принципе, вы добавить тесты в функции, которая проверяет все входы: печенье пользователя действует? в настоящее время он еще не вышли? параметры функции защищены от SQL-инъекций? (даже если вы знаете, что входные данные генерируются собственные функции, вы все равно тест) Лесозаготовки Журнал все как сумасшедшие. Его легче удалить журналы затем, чтобы добавить их. Пользователь уже вошел в систему? Журнал. Пользователь нашел 404? Журнал. Администратор редактировать/удалить пост? Журнал. Кто-то смог получить доступ к закрытой странице? Журнал. Не удивляйтесь, если ваш файл журнала достигает 15 Мб на этапе развития. Во время бета-тестирования, вы можете решить, какие логи снять. Если вы хотите, вы можете добавить флаг, чтобы определить, когда определенное событие регистрируется.
...