网络应用程序安全测试

2018年Verizon数据Breach报告如图所示，在已确认的数据侵犯中，网络应用程序是最容易被攻击的目标，在一些行业中，最多有41%的数据侵犯与网络应用程序有关。。我们还发现，大约一半与Web应用程序有关的数据被侵犯，安全团队需要几个月以上的时间才能发现。。攻击者访问系统的时间越长，造成的损失就越大。。我们必须尽快发现并消灭攻击者，但这说起来容易做起来难。。

自从攻击者将Web应用作为攻击目标以来，攻击者的手段越来越成熟，可以进行战斗测试，越来越巧妙。。即使企业为了保护自己免受常见Web应用程序的攻击而遵循最佳实践(OWASP前10等等)，都是不够的。。 侵入Web应用程序可能会给犯罪分子带来利益。。罪犯想要使用最新最好的攻击方法和工具，而背后可能有组织犯罪的资料。。对于这样的强行插队，企业很难单独对抗。

而且Web应用程序非常复杂，会扰乱自动检测攻击者入侵的系统。。因此，只有常见的工具(比如入侵检测)是不够的，网络应用安全测试可以填补这一缺口。。

网络应用程序安全测试的类型

动态应用程序安全测试(dast):dast的方法，搜索攻击者可能会使用的Web应用漏洞。。这个测试方法是为了验证攻击者针对的是什么漏洞，以及他们是如何从外部侵入系统的。。动态应用程序安全测试工具不需要访问应用程序的原始码，因此可以快速且频繁地通过dast进行测试。。

静态应用安全测试(SAST):与dast不同，SAST采取了更严格的方法，即寻找Web应用程序源代码中的漏洞。。SAST可以实时呈现Web应用的安全快照，因为你需要访问应用的源代码。。

应用入侵测试:应用入侵测试包含了人类因素。。安全专家模仿攻击者入侵Web应用程序的方法，使用个人的安全经验和各种入侵测试工具来找出可能被恶意利用的缺陷。。另外，如果公司内部没有资源，Web应用程序入侵测试服务也可以委托给第三方。。

关于网络应用程序安全测试的3个提示

1)如果是商业中不可缺少的系统，频繁地进行测试:对于存储客户数据的系统，包括信用卡号码、个人身份(PII)或其他敏感信息，你需要测试它是否存在安全漏洞。。实际上，它是政府和业界制定的许多合规准则的一部分。。考虑到这一点，考虑客户组织中潜在的网络应用安全测试范围。。

2)在软件的设计生命周期中，安全测试的实施时间越早越好:我不建议在软件开发的最后阶段进行安全测试。。无论如何都有可能被发现脆弱，给开发和维护的过程带来很大的障碍。。在开发生命周期的早期阶段加入安全性:如果可能的话，客户的开发运营(DevOps)团队应该全面参与，这样可以提高应对效率，降低风险，将修复的成本和时间降到最低。。

3)通过对修复和修复bug进行优先级排序，促进开发团队的业务进展:网络应用安全测试的结果往往是开发团队在某个时间点必须处理的项目列表。。在安全领域，我们称之为脆弱，在开发领域，我们称之为漏洞。。重要的是，不要把这些问题单放在DevOps团队里，而是要给脆弱排好优先级，并与漏洞追踪系统完全整合，最大限度地缩短修复时间。。

网络应用安全比以往任何时候都重要。。网络应用安全扫描器通过在测试和修复过程中遵循基本的最佳做法，企业可以大幅降低风险，并保护系统免受攻击者的攻击。。