工具驱动的安全测试：关键点与实践

在"研发或使用工具才能进行-安全性测试初步接触"这篇文章中，作者着重讨论了在软件开发过程中确保安全性的重要性和相应的测试方法。首先，文章强调了几个关键的安全问题，包括： 1. **HTTP请求限制**：认证和会话数据不应通过GET请求发送，这防止了敏感信息暴露。 2. **隐藏域与CGI参数**：开发者需要注意避免在这些区域传递敏感信息，以免遭受SQL注入等攻击。 3. **不安全的异常处理**：程序应妥善处理错误情况，以防止异常信息被恶意利用。 4. **配置管理**：不安全的配置可能导致漏洞，因此需要谨慎管理和更新。 5. **缓冲区溢出**：这是一种常见的攻击手段，通过超过预定大小的数据输入导致内存破坏。 6. **拒绝服务攻击**：防止恶意行为导致系统服务无法正常响应。 7. **日志、审计和恢复**：确保系统的日志完整、可审计，以及在发生攻击后能有效恢复。 文章将安全测试分为两个部分：理论篇和实践篇。理论篇提到测试粗糙程度以及交流需求，强调黑盒测试关注点，如用户管理、权限管理、加密系统和认证系统。实践篇则推荐了一些工具，如Appscan作为首选，AcunetixWebVulnerabilityScanner作为备选，以及HttpAnalyzerFull和TamperIESetup等用于自动化测试。 此外，文章提到了**木桶原理**，即系统的安全性取决于最薄弱环节，所有模块都需要整体提升。还提及了**安全层次模型**，包括物理层、网络层、传输层、应用层、表示层、会话层和安全审计，涉及访问控制、数据机密性、完整性、用户认证、防抵赖性及审计等安全目标。 最后，文章指出，安全性测试可以通过手工执行或借助工具完成，但必须确保输入数据的有效控制，以减少潜在漏洞。本文是关于如何通过工具和技术手段进行深入的安全性测试，以保障软件开发过程中的安全性。