.比较常见的安全性漏洞:1、后门,程序员为了方便自己维护,会留一些后门,但 是容易成为攻击的漏洞。
2、在源代码里会有网站地址遗漏,会被黑客利用,绕过防火墙, 直接攻击后台。
3、exceptions,我们在写程序的时候,难免的一些潜在漏洞,也容易成为被攻击的目标。
几种安全性服务方式和特点:
2、在源代码里会有网站地址遗漏,会被黑客利用,绕过防火墙, 直接攻击后台。
3、exceptions,我们在写程序的时候,难免的一些潜在漏洞,也容易成为被攻击的目标。
几种安全性服务方式和特点:
什么是代码扫描:对移动 APP 来讲,保证安全性最有效的方法,是对 app 的源代码进行扫描和审查。
怎么做呢?客户提供源代码,我们用自动化工具扫描,它会给出一个相应的报告,报告的内容都不是全都对的,有时候机器认定的问题并不是问题。由此我们的工程师会对扫描
出来的结果进行辨别:哪些是正确的?
这些做完以后,我们会把缺陷按优先级进行排列,形成一个报告发给客户。然后客户需要与开发人员进行多轮讨论:对这个报告中的结果是否认同?
为什么用代码比动态测试找出问题更有效果?与我们做平常软件测试的概念一样, 从扫 描源代码中找出问题的深度和广度,都比动态测试更好。
而用动态测试去测某个 APP 与服务器的互动,由于很多漏洞藏在 code 里,它们很隐蔽, 通常到某个时间,某个条件,才会触动。这个无法用动态测试测出,但是可以很容易用代码 扫描或评审找出来。
l 费用:
代码扫描,首先会依据客户代码的大小、需要经过多少轮来进行人天的估算,费用会根
据这个产生。 扫描代码,依据这个去判断过滤,分优先级,做出报告给客户确认讨论,在与开发人员
沟通方面会花费较多的时间(看是否沟通顺利)。例如:银行的客户,代码大概是 50 万行的 规模,我们用 5 到 6 人天的时间,帮他完成这类服务。
如果不方便提供整个源代码,可以提供关键的代码进行扫描。因为是用扫描器,所以可 以不用全部的代码。
---------------------
作者:EdmondSung
怎么做呢?客户提供源代码,我们用自动化工具扫描,它会给出一个相应的报告,报告的内容都不是全都对的,有时候机器认定的问题并不是问题。由此我们的工程师会对扫描
出来的结果进行辨别:哪些是正确的?
这些做完以后,我们会把缺陷按优先级进行排列,形成一个报告发给客户。然后客户需要与开发人员进行多轮讨论:对这个报告中的结果是否认同?
为什么用代码比动态测试找出问题更有效果?与我们做平常软件测试的概念一样, 从扫 描源代码中找出问题的深度和广度,都比动态测试更好。
而用动态测试去测某个 APP 与服务器的互动,由于很多漏洞藏在 code 里,它们很隐蔽, 通常到某个时间,某个条件,才会触动。这个无法用动态测试测出,但是可以很容易用代码 扫描或评审找出来。
l 费用:
代码扫描,首先会依据客户代码的大小、需要经过多少轮来进行人天的估算,费用会根
据这个产生。 扫描代码,依据这个去判断过滤,分优先级,做出报告给客户确认讨论,在与开发人员
沟通方面会花费较多的时间(看是否沟通顺利)。例如:银行的客户,代码大概是 50 万行的 规模,我们用 5 到 6 人天的时间,帮他完成这类服务。
如果不方便提供整个源代码,可以提供关键的代码进行扫描。因为是用扫描器,所以可 以不用全部的代码。
---------------------
作者:EdmondSung
沪公网安备 31010502000282号