AppScan：軟件安全的“充電器”

    Billy Hoffman認為近年來越來越多針對Web應用程序展開的攻擊，其實與人們過度追捧這些新技術有很大的關系。他認為Web2.0幾乎就像又一場"泡沫"，大量的熱錢投入。Web2.0的很多技術是很優秀的，然而很多人因為錯誤的原因（追趕潮流）把客戶端的程序換成基于Web的應用程序。

    這種過度追捧導致很多缺乏Web開發經驗的人進入這個領域，就像上世紀90年代的"tech boom"一樣，很多人在讀完幾本類似《24小時精通ASP.NET》這樣的書之后，開發了一大堆"拷貝、粘貼"式的Web應用程序。然而，這些入門材料的例子并不包含最佳實踐，里面的例子往往過于簡單，尤其是在安全方面過于草率處理。

    由此帶來的近年廣泛出現的Web安全問題也就不奇怪了。最近Web應用程序的安全開發和質量保證被提高到新的高度，IBM、HP、Fortify都紛紛推出新的軟件安全測試工具，誓要與黑客們展開"大斗法"，究竟"魔高一丈"還是"道高一尺"呢？也許永遠也得不到答案。

    作為軟件測試人員和質量保證者，我們唯有及時補充自己的安全知識，才能有效保證應用程序的安全，適當借助合適的工具也許能助我們一臂之力。最近IBM發布的AppScan7.8中就包含一個名為"Result Expert"的新特性，其中的Advisory和Fix Recommendation頁會詳細解釋漏洞的相關的知識，可用于教育我們這些缺乏軟件安全意識的開發人員，其中的修復建議可以詳細到代碼層。而測試人員則可以從Request/Response頁中學習到安全測試的一些技巧。

    初學軟件安全測試的人都會為缺乏實踐的環境而煩惱，僅僅看一下書，看一下漏洞描述和攻擊過程是無法深入理解安全問題的來龍去脈的，所以最好能結合一些存在漏洞的軟件和Web站點進行實踐。AppScan附帶的Sample是一個名為AltoroJ的J2EE項目，Altoro Mutual是一個包含了一些安全漏洞的Web應用程序，可運行在Tomcat 5.5的服務器上。

文章來源于領測軟件測試網 http://www.kjueaiud.com/

TAG: AppScan 軟件 充電器