19.10 小结

许多在测试Web应用程序方面拥有实际经验的人,对于审查一个应用程序的代码并直接从中发现漏洞,往往表现出不合常理的恐惧。对于那些没做过程序员的人而言,产生这种恐惧是可以理解的,但这种表现并没有合理的根据。任何熟悉计算机的人,只要花一点儿投资,就可以拥有足够的知识与信心,进行有效的代码审查。当审查一个应用程序的代码时,不一定要发现其中包含的“全部”漏洞,任何人在亲手进行测试时都不会设定这个不现实的目标。更合理的做法是,着手了解应用程序对用户提交的输入进行了哪些关键的处理,认清一些表示应用程序可能存在漏洞的签名。这样,代码审查才可以与大家更加熟悉的“黑盒”测试方法互为补充,提高“黑盒”测试的效率,并披露完全从外部访问应用程序时非常难以发现的漏洞。