Bir Çevik geliştirme dükkanda güvenliği test etmek için en iyi yöntemler var mı?

oy
9

Çevik gelişme ile ilgili olarak, serbest bırakılması başına güvenliğini test etmek için en iyi yöntemler nelerdir?

Bir aylık yayın ise, her ay kalem testleri yaparak dükkanlar bulunmaktadır?

Oluştur 05/08/2008 saat 16:05
kaynak kullanıcı
Diğer dillerde...                            


4 cevaplar

oy
2

Başvurunuz etki alanı nedir? Değişir.

Eğer kelime "Çevik" kullanılan beri, ben bir web uygulaması tahmin ediyorum. Ben senin için güzel kolay cevabım var.

Burp Suite bir kopyasını satın gidin (o "geğirmek" --- emin bir ciro için 1. Google sonuç bu!); Eğer Kasım ayına kadar beklemek eğer ~ $ 180USD, veya $ 98 Obama Doları size 99EU mal veya edeceğiz.

Burp bir web proxy olarak çalışır. Sen Firefox veya IE ya da her neyse kullanarak web uygulaması üzerinden atmak ve bunu üretmek tüm hit toplar. Bu isabetler bir web fuzzer olan "Hırsız" adlı bir özellik, beslenir olsun. Saldırgan ise sorgu hazırlayan her birine sağlayan tüm parametreleri anlamaya olacaktır. Daha sonra SQL, dosya sistemi ve HTML metakarakterleriyle dahil her parametre için çılgın değerlerini çalışacağız. Tipik bir kompleks formu yayında, bu, bir Çevik bağlamda daha da önemlisi, yeni --- hata yanıtları korkutucu tespit --- ya kadar bakacağız yaklaşık 1500 hit oluşturmak için gidiyor.

Her sürüm tekrarda web uygulamasında her sorgu işleyicisi fuzzing Resmi bir "SGYD'yi" kurumsallaştıran ve sayımın eklemeden uygulama güvenliğini artırmak için yapabileceğiniz 1. şeydir. Bunun ötesinde, büyük web uygulaması güvenliği sıcak noktalar için kodunuzu gözden:

  • Sadece parametreli hazırlanmış SQL ifadelerini kullanın; Hiç basitçe dizeleri bitiştirmek ve veritabanı sap onları beslemeyin.

  • sorgu sonuçlarından çıktı veri filtreleme HTML öğeleri HTML meta (quot, lt, gt, vs) "nötralize" ile, daha da önemlisi, bilinen iyi bir karakter (Alnum temel noktalama) bir beyaz liste tüm girişlerini filtre ve.

  • her yerde şu anda sorgu parametreleri basit tamsayı satır kimlikleri kullanıyorsanız uzun rasgele zor tahmin tanımlayıcıları kullanın ve sadece bu tanımlayıcıları tahmin ederek kullanıcı Y'nin verileri göremiyor emin kullanıcı X olun.

  • onlar geçerli, oturum açan oturumda çerez sunulmuştur iken çalışan emin olmak için uygulamanın her sorgu işleyicisi sınayın.

  • masum kullanıcılar için formlar sunacak zararlı bağlantılar oluşturarak saldırganları engellemek için, tüm render formlara gizli form Jeton parametrelerini oluşturmak için web yığınında XSRF koruması açın.

  • karma şifreleri saklamak için --- Bcrypt --- ve başka bir şey kullanın.

Cevap 10/09/2008 saat 22:19
kaynak kullanıcı

oy
1

Birim test , Savunma Programlama ve günlükleri bir sürü

Birim test

mümkün olduğunca erken emin size birim testi yapın (örn şifre, SSL tüneli vb çalışıyor göndermeden önce şifreli olmalıdır). Bu kazayla programı güvensiz hale gelen programcıları engeller.

Savunma Programlama

Ben şahsen Paranoid Programlama diyoruz ama Vikipedi asla yanlış (olduğu alay ). Temel olarak, tüm girdilerini denetleme Fonksiyonlarınızdan için testler ekleyin:

  • Kullanıcının çerezleri geçerlidir?
  • Hala şu anda kaydedilir?
  • işlevin parametreleri SQL enjeksiyonu karşı korunur? (Eğer girişini kendi fonksiyonları tarafından üretildiğini bildiğimiz halde, yine de test edecek)

Günlüğü

deli gibi her şeyi yapın. daha kolay Onun eklemek için daha sonra günlükleri kaldırmak için. Bir kullanıcı giriş yapmış? Bunu yapın. Bir kullanıcı bir 404 bulundu? Bunu yapın. / Düzenlenen yönetici bir yazı silindi? Bunu yapın. Birisi kısıtlı sayfasına erişmek başardı? Bunu yapın.

Günlük dosyası ulaşırsa 15+ Mb geliştirme aşamasında şaşırmayın. beta sırasında, kaldırmak kaydeder hangi karar verebilir. İsterseniz, belirli bir olay kaydedilir zaman karar vermek için bir bayrak ekleyebilir.

Cevap 18/08/2008 saat 03:40
kaynak kullanıcı

oy
1

Bir güvenlik uzmanı değilim, ama test güvenliği önce farkında olmalı en önemli gerçek, korumak için çalışıyoruz ne olduğunu düşünüyorum. Eğer korumaya çalışıyoruz biliyorum Sadece eğer, güvenlik önlemlerinin uygun bir analiz yapmak ve sadece o zaman bu uygulamaya önlemler test etmeye başlayabilirsiniz.

Çok soyut, biliyorum. Ancak, ben her güvenlik denetim ilk adım olması gerektiğini düşünüyorum.

Cevap 05/08/2008 saat 18:50
kaynak kullanıcı

oy
1

Ben Çevik gelişimi üzerine uzman değilim ama senin inşa döngüsünün içine bazı temel otomatik kalem testi yazılımını entegre iyi bir başlangıç ​​olacağını tahmin ediyorum. Temel test yapacak ve iyi otomasyonu için uygun olduğunu işaret orada birkaç yazılım paketleri gördük.

Cevap 05/08/2008 saat 18:19
kaynak kullanıcı

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more