|
Post by account_disabled on Dec 30, 2023 3:49:54 GMT
以 安全第一 的方法在市场中保持竞争力总是有益的。 执行安全审计不应该只是为了通过审计,而是因为这对您的应用程序和业务 客户来说是正确的! 您还可以通过公开发布您的发现来帮助其他开发人员对其代码执行安全审核,以便他们知道您在审核时发现了哪些问题如果有。 这有助于提高所有应用程序的整体软件质量,因为这些工具是开源的并且可以免费下载。 只需要一个人发现问题,其他人也开始注意到! 黑客攻击计算机的人 执行您自己的安全审计 既然我们已经讨论了为什么执行安全审计很重要。 让我们来看看如何执行你自己的安全审计! 您应该首先审核容易获得的成果。 这些包括: 注销并以管理员或超级用户身份登录,以确保凭据不会缓存在任何地方日志文件、浏览器历史记录等。 运行您的应用程序附带的任何默认管理员帐户,因为如果保持不变,它们 电话号码列表 将可以公开访问,例如 。 根据 标准规则检查密码强度如果使用 ,它已将其内置到设计中。 相关:高级安全 :使用 可以做的 件事。 在计算机上编码的人 常见问题 应用程序中最常见的一些问题是什么? 注入、跨站脚本 、会话固定、不安全的直接对象引用等。 在执行安全审计时,是否有我可以通过的检查表? 就在这里! 前往 开放 应用程序安全项目并下载他们的清单以执行安全审计。 提供代码库的高级概述。 可以用工具自动化。 静态代码分析的缺点 如果不使用自动化工具,则需要很长时间才能运行。 在运行时环境中使用时不准确。 自动化工具非常适合自动化重复性任务,但它们可能并不支持每种编程语言。 刹车手主页 动态分析 动态分析是运行代码并跟踪其行为的过程。 这可以让您更好地了解应用程序如何与其环境交互,从而揭示系统中的潜在缺陷。
|
|