Kiểm tra bảo mật

Kiểm tra bảo mật là gì?

Kiểm tra bảo mật là một kỹ thuật kiểm tra để xác định xem hệ thống thông tin có bảo vệ dữ liệu và duy trì chức năng như dự kiến ​​hay không. Nó cũng nhằm xác minh 6 nguyên tắc cơ bản như được liệt kê dưới đây:

  • Confidentiality

  • Integrity

  • Authentication

  • Authorization

  • Availability

  • Non-repudiation

Kiểm tra bảo mật - Kỹ thuật:

  • Injection

  • Xác thực bị hỏng và quản lý phiên

  • Kịch bản chéo trang (XSS)

  • Tham chiếu đối tượng trực tiếp không an toàn

  • Cấu hình sai bảo mật

  • Phơi nhiễm dữ liệu nhạy cảm

  • Thiếu kiểm soát truy cập mức chức năng

  • Yêu cầu trên nhiều trang web giả mạo (CSRF)

  • Sử dụng các thành phần có lỗ hổng đã biết

  • Chuyển hướng và Chuyển tiếp chưa được xác thực

Mã nguồn mở / Công cụ kiểm tra bảo mật miễn phí:

Sản phẩm Nhà cung cấp URL
FxCop Microsoft https://www.owasp.org/index.php/FxCop
FindBugs Đại học Maryland http://findbugs.sourceforge.net/
FlawFinder GPL http://www.dwheeler.com/flawfinder/
Ramp Ascend GPL http://www.deque.com

Công cụ kiểm tra bảo mật thương mại:

Sản phẩm Nhà cung cấp URL
Armorize CodeSecure Armorize Technologies http://www.armorize.com/index.php?link_id=codesecure
GrammaTech GrammaTech http://www.grammatech.com/
Appscan IBM http://www-03.ibm.com/software/products/en/appscan-source
Veracode VERACODE http://www.veracode.com