安全攻城狮在公司存在之初,刚开始更多进行的是救火的工作,救火工作并不能从根源上解决漏洞的产生。
如何最大化的将漏洞扼杀在产生之初,这个实际上某个dalao提的问题,问了几位老司机,做一下小笔记。
1,定期化的安全培训,需要注重培训效果、培训次数、培训覆盖面、帮助文档、培训反馈;
2,系统设计阶段,就需要安全测试小伙伴的介入,了解开发过程、熟悉业务流程,只有掌握足够多的信息,才能发现更多的问题;
3,在目标系统测试环境部署支持agent的扫描器,部署agent之后,可以和扫描器进行联动;
4,给功能测试、性能测试同学开发安全相关插件,插件的功能是收集系统的各种请求,并上报给扫描器进行自动化扫描;
5,部署针对测试网段的流量镜像,从流量中提取分离出URL,进行自动化扫描。
6,黑盒测试、白盒代码审计也是必须的。
以上几点算是属于方法论吧,具体的技术手段可以借助某些开源系统,也可以自己造轮子。
Related Posts
- 本文固定链接: http://www.nxadmin.com/penetration/1556.html
- 转载请注明: admin 于 阿德马Web安全 发表