1
我們希望定期測試我們的網絡應用程序是否存在漏洞 - 我們擁有BurpSuite許可證,但希望研究使用在線解決方案的可能性。基於雲的安全測試?
優勢,因爲我們看到他們:
- 需要很少/無人員培訓
- 它總是最新的(檢查最新的已知vuns)
- 這可能是更具成本效益
有沒有人使用過這樣的解決方案?使用本地應用程序(如BurpSuite)進行手動測試的體驗如何?
A
回答
1
您的定期測試是否包含使用BurpSuite運行純自動掃描或手動分析?
基於雲的掃描儀不會像本地運行BurpSuite那樣提供儘可能多的交互性。手動分析對於分析設計問題,授權問題或邏輯錯誤非常重要。一個完全自動化的掃描器將會(或者應該)做的是照顧像SQL注入和XSS這樣的惡意測試。 (將其視爲實現問題,而不是設計問題)
基於雲的掃描器可能是您開箱即用的BurpSuite掃描的直接替代品 - 即不使用太多配置。但它不應該補充,而不是取代良好的手動測試。這在成本方面可以是一種好處。
儘管基於雲的掃描儀可以「始終保持最新」,但實際上很少有新的網絡病毒。例如,OWASP Top 10在過去的7年中只發生了一點變化。如果您主要使用開源或商業Web應用程序,更新後的版本將有所幫助,但它們不會影響您在內部構建的應用程序。
(僅供參考,我的觀點來自於基於雲的掃描工作。)
+0
好的答案 - 我想在過渡期間看看Google的Skipfish – isNaN1247 2011-05-24 04:09:26
相關問題
- 1. 仿真器測試與基於雲的測試
- 2. 測試安全1.4
- 3. CakePHP:安全測試
- 4. 基於雲/基於桌面的開放URL負載測試工具?
- 5. 基於角色的安全
- 6. 基於模塊的安全
- 7. 關閉「基於雲」的Visual Studio負載測試
- 8. 超級測試,測試安全REST API
- 9. 索賠基於安全
- 10. 安全測試工具
- 11. 測試iOS應用安全
- 12. 安全測試網站
- 13. 網絡安全測試
- 14. 安全的基於功能的瀏覽器檢測
- 15. 安卓雲測試實驗室vs Firebase測試實驗室
- 16. DLL上的基於角色的安全
- 17. 基於Java EE的基於服務的安全
- 18. Silverlight的 - 如何基於用戶安全
- 19. Winforms基於角色的安全限制
- 20. 基於Spring安全角色的URL
- 21. 隱藏Html.ActionLinks基於角色的安全
- 22. Spring STOMP基於令牌的安全性
- 23. 基於角色的安全性asp.net mvc
- 24. 基於令牌的Web服務安全
- 25. HornetQ基於角色的安全實現
- 26. C#基於角色的安全
- 27. 基於主鍵的GetHashCode() - 安全嗎?
- 28. 基於Cookie的會話安全
- 29. 啓用基於角色的安全
- 30. RIA中基於角色的JavaScript安全
也許http://security.stackexchange.com/? – 2011-05-23 21:04:30