第10章 企业Web应用安全计划

到目前为止,我们一般都是假定入侵者对所研究的Web应用具有的初始认识极少。当然,在现实世界中,安全评估常常是从对目标Web应用的大量了解和访问开始的,例如,Web开发测试团队在开发过程中,可能使用全知识方法(很容易得到应用信息和访问权)进行定期的应用安全审核,而在发行之后采用零知识评估(几乎没有应用信息或者访问权限)。

本章描述了理想的企业Web应用安全计划的关键方面。这个计划是从对产品及时间的安全改进感兴趣的企业Web应用开发团队或者技术安全审核部门的角度出发的(当然,本章概述的技术也可以用于进行“灰盒”安全审核——一种利用黑盒和白盒分析的最佳特性的混合方法)。我们还要介绍IT操作人员和管理人员感兴趣的一些过程和技术,这些过程和技术将本书介绍的评估方法自动化,使其成为可伸缩的、一致的过程,并提供相当的投资回报(ROI)。这种方法基于作者们作为大型企业安全管理人员和顾问的共同经验。本章的组织结构反映了全知识方法的主要组成部分:

·威胁建模

·代码评审

·安全测试

我们将用一些关于使用最佳实践将安全型集成到整个Web开发过程的想法来结束本章,这些最佳实践在领悟了安全性的组织中越来越常见。