当前位置:首页 > 网络安全 > 正文内容

用了ZAP,你的软件就安全了吗?

访客4年前 (2021-04-15)网络安全558

 近来几年,许多大型网站频发安全事情,比方2011年众所周知的CSDN暗码走漏事情,2014年eBay也因遭到进犯形成用户暗码和个人数据走漏,Web安全逐步进入人们的视界,安全测验也逐步成为了软件测验中十分重要的一部分。

说到安全测验,许多人应该都会想到ZAP,ZAP(Zed Attack Proxy)是OWASP供给的一款免费Web安全缝隙扫描东西,用户能够经过设置浏览器和ZAP的Proxy,在开发进程或测验进程中主动检测Web应用程序是否存在安全缝隙,ZAP还会供给扫描成果的危险等级,修正主张以及一些参阅文档,下图便是ZAP扫描后的一个用户界面。

除了主动扫描功用,ZAP也支撑手动安全测验,经过在数据发送到服务器之前手动修正恳求信息来测验Web应用程序是否存在安全缝隙。

许多人会有这样的疑问,ZAP能否扫描出一切的安全缝隙?ZAP扫描出的安全缝隙和安全等级是否牢靠?用了ZAP,软件是不是就安全了?

ZAP局限性

首要尽管ZAP的主动扫描功用十分强壮,但关于OWASP Top 10中的某些项或许Top 10以外的一些安全缝隙,想要经过ZAP扫描检测出来是十分困难的,比方Top 10中的A5 “Security Misconfiguration” 就很难经过扫描检测出来,所以ZAP所能扫描到的安全缝隙只是OWASP Top 10的一个子集。

其次,ZAP扫描后的安全陈述,仍是需求结合实践项目进行剖析才干确认其有效性和安全等级,比方咱们在项目中从前用ZAP扫描出了 “Cookie set without HttpOnly flag” 的安全隐患,引荐的处理方案是将一切的Cookie都设置成HttpOnly,但实践的状况是项目中前端AJAX需求带着这个Cookie来给后端发送恳求,假如设置了这个flag,那么咱们正常的恳求也会失利,所以这个缝隙对咱们来说便是无效的,或许说咱们是不应该修正的。

别的由于Web应用程序往往比较复杂,会有许多组成部分,比方前端、服务器端、数据库等,各层别离运用了不同的结构、言语,并且经常会引进一些第三方的库、结构或许模块,每一个环节都有或许存在安全隐患,所以只是依靠ZAP是不行的,比方针对第三方组件的安全测验,就能够凭借OWASP供给的别的一款东西Dependency Check。

经过剖析实践项目中发现的安全问题,咱们发现缺点大体上如下散布:

安全问题能够归为两大类:

一类是比较有共性的,即能够抛开事务上下文,软件之间共通的一些问题,常见的比较严峻的安全隐患,如XSS进犯,CSRF进犯等,ZAP能够帮咱们扫描出大多数的问题。 另一类是针对事务需求的,比方非授权的账户是否不能拜访/修正他们没有权限的信息等等,关于这一类问题,脱离详细的事务上下文,是很难测验的,由于什么样的用户具有什么样的权限往往是事务范畴的常识,换句话说,这一类问题的测验重点是看正常的用户能否依照事务需求所希望地正常运用体系,怎样区别evil user并阻挠其对体系的运用和损坏,需求很强的事务布景。

举一个简略的比方,比方一个Web体系有两种人物,管理员和一般账户,事务需求是管理员能够修正一切人的一切信息,一般账户只能看到和修正自己的信息,假如一般账户张三能够经过一些非正常手法修正李四的信息,或许非体系的用户(evil user)经过某些方法能够看到体系内账户的个人信息,这些都是严峻的安全缺点,并且这一类的缺点所占比率比较大,可是都没有方法经过ZAP扫描出来,也没有方法脱离对事务常识的了解来进行测验。

安全内建

ZAP扫描,针对事务上下文的用户权限测验(不能局限于界面,还要经过其他一些方法比方修正恳求)以及evil user的用户场景测验,能够掩盖绝大多数的Web安全缺点,可是正如咱们没有方法将质量注入一个现已成型的产品相同,安全也是相同的道理。

假如咱们在软件现已编码完结之后再引进安全查看和测验,那么软件的安全质量现已确认,后期的修正只能处理现已发现的安全缝隙,不能让软件愈加安全,并且关于这些安全缺点,发现得越晚,修正的本钱就会越高。

所以为了开发安全质量较高的产品,除了挑选好的东西以及添加事务布景下的安全测验,还十分有必要将安全查看和测验提早,在软件开发各个进程中引进安全实践。

微软提出的SDL(Security Development Lifecycle)便是这样的理念,SDL提出了许多软件开发进程中十分好的的安全活动,比方需求剖析阶段的“最小权限准则”,开发阶段“弃用不安全的函数”,以及测验阶段能够运用“含糊测验”等等,其核心理念便是将软件安全的考虑集成在软件开发的每一个阶段,从需求,规划,编码,测验,到最后的发布整个进程中,下图是一个简化版的SDL流程图,完好的SDL还包含前期的培训,发布后的呼应等:

[1] [2]  黑客接单网

扫描二维码推送至手机访问。

版权声明:本文由黑客接单发布,如需转载请注明出处。

本文链接:https://therlest.com/106444.html

分享给朋友:

“用了ZAP,你的软件就安全了吗?” 的相关文章

立秋是几月几日

说到立秋,大家可能还会觉得比较远,确实算一下也还有将近一个月的时间,大家知道今年的立秋是在什么时候吗,具体的时间是2020年8月7日09:06:03,星期五,农历六月十八,因此在这一天大家就可以吃很多的美食,那么接下来大家就随百思特小编一起了解看看~   立秋是几月...

【紧急+重要】勒索病毒解决方案!附:MS17-010补丁下载

  滚动更新:2017年5月13日16:57:22   游侠安全网(良心网站,站长先贴上注意事项和解决方法!防止你看本文的时候就被加密了!   1、本次共计是自动化攻击,利用了Windows的MS17-010。但苹果的MacOS用户不用得意,因为在昨晚之前,我这里得到的好几起勒索攻击案例都是针对...

宝钢价格行情最新报价,宝钢股份2021年10月钢材价格

宝钢钢材的价格:宝钢3Cr2W8V圆钢,故11、多家钢厂纷纷出台四季度价格调整方案,钢坯出口下降,月份钢材价格走势不容乐观。 要全面考虑下.关于2008年12月宝钢股份碳钢产品钢材价格国内期货销售价格调整的通知发布时间:2008-10-2014:03:06源自-宝钢股份,宝钢每月都公布下月的出厂价格...

Webshell安全检测篇(1)-根据流量的检测方法

一、概述 笔者一直在重视webshell的安全剖析,最近就这段时刻的心得体会和咱们做个共享。 webshell一般有三种检测办法: 依据流量方法 依据agent方法(本质是直接剖析webshell文件) 依据日志剖析方法 Webshell的分类笔者总结如下: 前段时...

53度最便宜酱香郎酒_郎酒经典酱香53度

我一朋友,500多到600多,10年红花郎288,现在估价至少在2000元以上,郎酒老郎酒淡雅2002年出厂,三星,关键是看款型,1992年53-1度酱香型。 郎酒还是1898起步比较好。对了,或者以前的,未来两年必定疯长!不知道怎么上图,现在的价格是158元每瓶便宜,你好。 看目前郎酒的上涨势头,...

上海市帅男精油spa,好的一次spa如同赢在人生起跑点

上海市帅男精油spa,好的一次spa如同赢在人生起跑点 上海市帅男精油spa,好的一次spa如同赢在人生起跑点 我们都是女性spa女子维护保养会馆太阳男芳疗师是一家集女子推拿、精油spa、女子spa、女子会馆、女子spa按摩、女子spa会所、女子印尼巴厘岛spa、酒店餐厅spa、女子spa...

评论列表

纵遇白况
3年前 (2022-07-06)

是项目中前端AJAX需求带着这个Cookie来给后端发送恳求,假如设置了这个flag,那么咱们正常的恳求也会失利,所以这个缝隙对咱们来说便是无效的,或许说咱们是不应该修正的。别的由于Web应用程序往往比较复杂,会有许多组成部分,比方前端、

世味双笙
3年前 (2022-07-06)

么样的用户具有什么样的权限往往是事务范畴的常识,换句话说,这一类问题的测验重点是看正常的用户能否依照事务需求所希望地正常运用体系,怎样区别evil user并阻挠其对

辞眸青尢
3年前 (2022-07-06)

p 10以外的一些安全缝隙,想要经过ZAP扫描检测出来是十分困难的,比方Top 10中的A5 “Security Misconfiguration” 就很难经过扫描检测出来,所以ZAP所能扫描到的安全缝隙只是OWASP Top

北槐北渚
3年前 (2022-07-06)

用程序是否存在安全缝隙。许多人会有这样的疑问,ZAP能否扫描出一切的安全缝隙?ZAP扫描出的安全缝隙和安全等级是否牢靠?用了ZAP,软件是不是就安全了?ZAP局限性首要尽管ZAP的主动扫描功用十分强壮,但关于OWASP

末屿杞胭
3年前 (2022-07-06)

求结合实践项目进行剖析才干确认其有效性和安全等级,比方咱们在项目中从前用ZAP扫描出了 “Cookie set without HttpOnly flag” 的安全隐患,引荐的处理方案是将一切的Cookie都设置成HttpOnly,但实践的状况是项目中前端AJAX需求带着这个Cookie来给后端

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。