安然事务产生的最初阶段,是“黑客”促使我们思虑安然缝隙的风险–常常考虑的是直接风险,一样我们最初的解决编制当然是“头痛医头脚痛医脚”。同时,良多人对黑客的行动感应相当好奇,***欲看油但是生,良多人研究黑客手艺常常就是因为好奇,实际傍边有报复打击能力常常成为衡量一小我手艺程度的“不成文共叫”。本人对这些现象不否定但不撑持也不同意,这类不雅念上的不合的本源常常在于每小我站的角度不合使然。
假定你的职责是守护一个产品,确保它可以供给安然的办事给我们的客户,我需要思虑甚么?先看一下,你同意以下不雅点吗?
1. 你学着黑客一样在测试环境往报复打击我的产品,发现标题问题当即封住,这是我的首要职责
2. 你监听用户行动,发现歹意行动,当即堵住,同时找到歹意用户的报复打击点,找找标题问题,假定有标题问题,封住,这是我工作的首要构成部门
3. 你的老板可能会觉得我发现的标题问题越多,申明手艺越好越用功,对产品的安然性越有决定信念
4. 你担忧当某一天,我再也没法发现产品的安然标题问题了,是不是是我也就没事儿了,轮到我下岗了
假定你同意或根基同意以上不雅点,我感觉你所保护的产品发安然性相当危险,起码你没有足够的来由对你的产品的安然性足够的安心。
再看一下以下不雅点,你同意吗?
1. 你研究黑客行动,目标是掌控暗藏的安然缝隙的存在情势,以查抄本公司产品是不是有近似标题问题
2. 你研究各类常见缝隙,目标是掌控缝隙的产生的本源,以便我系统的总结它的启事,系统化的统一在产品傍边解决它
3. 你尽力着试图把各类缝隙的产生的根来历根底因总结到一路,抽象出共性,以使其变陈规范,在产品开辟过程傍边以便法度设计与实现人员只要遵循规范,便可避免诸多暗藏安然标题问题标呈现
4. 你研究渗入测试目标不是用测试来发现所有的安然标题问题,而是用来查抄我以上三条是不是需要完美
假定你同意或根基同意以上不雅点,起码你所保护的产品的安然性是可控的,可怀抱的,心里是有底的,假定你敢大年夜胆的说你的产品足够安然,那可性度是相当高的。
最后,用一个例子来表白为甚么要淡化报复打击过程实现:
若何发现XSS缝隙?我一句话就可以说清晰:用一串带有Javascript敏感的字符串来窜改替代HTTP要求头傍边的参数值,不雅察HTTP响应里是不是被返回,假定返回是不是被准确编码(叫转义也行)的过程。
如斯说来,发现一个有XSS缝隙的API的XSS标题问题对一个通俗的软件测试人员也并不是难事儿。一个简单的反射式XSS标题问题,可能5分钟便可以肯定,可是,我要夸大年夜一下这个“可是”,这个XSS缝隙若何反变成可操纵的可以实现报复打击的缝隙,这个过程将多是1小时也多是一个月,还有多是1-2年!
对我,一个企业的产品安然保护者,解决如许的一个XSS标题问题可能也只需要5-10分钟,假定让我花1小时到2年时候来证实它的操纵价值有多高,请问同业们,你感觉成心义吗?
有一个群体的人会答复:成心义! 他们常常长短产品安然保护人员,多是黑客财产链中的人,也多是强烈的黑客手艺的好奇者……,假定不幸的有我们同业在里面,我会感觉很不是滋味,
我抱负中的同业们应当是如许的:
我有能力成为黑客,可是我不会把时候华侈在“当黑客”这一行当上。