4
安全漏洞扫描1
source link: https://blog.shareworld.vip/archives/iast01
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
安全漏洞扫描1
Owen Jia 2023年08月01日 16次浏览
应用安全测试
应用开发绝大多数人都是正向逻辑,能够把反向场景想到并修复调的极少,特别是国内几乎未曾见过,不知是国内外文化不同,还是国内竞争压力太大;
2B市场,软件系统的交付往往伴随‘安全性’自证,关于这个‘自证’本身非常值得吐槽,特别是金融市场的客户,几乎都是网络封闭环境,TMD的漏洞检测。
漏洞扫描市场是非常大,其本身也非常专业,有较高门槛(对于大多数软件开发人员来说);这个门槛,也说明了在安全领域了这么多家企业的存在是有价值的,还有好几家都上市了。
应用漏洞检测
这次的漏洞主要围绕应用软件系统,不包括服务器、数据库之类。
借着本次机会,盘点了漏洞扫描市场现状。首先,从0开始自己扫描这条路非安全领域内人员请不要尝试;其次,采用开源的检测工具,围绕怎么用好它展开,又或者采购服务商检测软件或者能力;最后,在开源基础上二次开发(加入特性),非大平台不建议。
AST有哪些
漏洞扫描AST,分为SAST、DAST、IAST几种,“静态、动态、集成”应用程序安全测试;
- openrasp-iast
百度开源的,主动检测类型,就是安装好后他会主动发起检测。
- 洞态iast
北京火线安全提供,属于被动类型,需要主动点击功能,通过javaagent模式检测。
留给未来反思总结
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK