Kiểm tra bảo mật
Kiểm tra bảo mật là gì?
Kiểm tra bảo mật là một kỹ thuật kiểm tra để xác định xem hệ thống thông tin có bảo vệ dữ liệu và duy trì chức năng như dự kiến hay không. Nó cũng nhằm xác minh 6 nguyên tắc cơ bản như được liệt kê dưới đây:
Confidentiality
Integrity
Authentication
Authorization
Availability
Non-repudiation
Kiểm tra bảo mật - Kỹ thuật:
Injection
Xác thực bị hỏng và quản lý phiên
Kịch bản chéo trang (XSS)
Tham chiếu đối tượng trực tiếp không an toàn
Cấu hình sai bảo mật
Phơi nhiễm dữ liệu nhạy cảm
Thiếu kiểm soát truy cập mức chức năng
Yêu cầu trên nhiều trang web giả mạo (CSRF)
Sử dụng các thành phần có lỗ hổng đã biết
Chuyển hướng và Chuyển tiếp chưa được xác thực
Mã nguồn mở / Công cụ kiểm tra bảo mật miễn phí:
| Sản phẩm | Nhà cung cấp | URL |
|---|---|---|
| FxCop | Microsoft | https://www.owasp.org/index.php/FxCop |
| FindBugs | Đại học Maryland | http://findbugs.sourceforge.net/ |
| FlawFinder | GPL | http://www.dwheeler.com/flawfinder/ |
| Ramp Ascend | GPL | http://www.deque.com |
Công cụ kiểm tra bảo mật thương mại:
| Sản phẩm | Nhà cung cấp | URL |
|---|---|---|
| Armorize CodeSecure | Armorize Technologies | http://www.armorize.com/index.php?link_id=codesecure |
| GrammaTech | GrammaTech | http://www.grammatech.com/ |
| Appscan | IBM | http://www-03.ibm.com/software/products/en/appscan-source |
| Veracode | VERACODE | http://www.veracode.com |