如果代码评审足以捕捉所有安全缺陷不是很好吗?遗憾的是,由于种种原因,情况并非如此,主要的原因是没有完美的安全评估机制。因此,不管在应用上进行哪一种级别的代码评审,在现实环境中严格的代码安全测试也总是会发现更多的缺陷,其中一些还相当严重。这一小节将详细说明Web应用安全测试的一些关键方面,包括:
·模糊测试(Fuzz-testing)
·测试工具、实用程序和框架
·渗透测试