首页 > 渗透测试 > 如何最大化的将漏洞扼杀在摇篮里
2017
03-09

如何最大化的将漏洞扼杀在摇篮里

安全攻城狮在公司存在之初,刚开始更多进行的是救火的工作,救火工作并不能从根源上解决漏洞的产生。

如何最大化的将漏洞扼杀在产生之初,这个实际上某个dalao提的问题,问了几位老司机,做一下小笔记。

1,定期化的安全培训,需要注重培训效果、培训次数、培训覆盖面、帮助文档、培训反馈;

2,系统设计阶段,就需要安全测试小伙伴的介入,了解开发过程、熟悉业务流程,只有掌握足够多的信息,才能发现更多的问题;

3,在目标系统测试环境部署支持agent的扫描器,部署agent之后,可以和扫描器进行联动;

4,给功能测试、性能测试同学开发安全相关插件,插件的功能是收集系统的各种请求,并上报给扫描器进行自动化扫描;

5,部署针对测试网段的流量镜像,从流量中提取分离出URL,进行自动化扫描。

6,黑盒测试、白盒代码审计也是必须的。

以上几点算是属于方法论吧,具体的技术手段可以借助某些开源系统,也可以自己造轮子。

 

最后编辑:
作者:admin
这个作者貌似有点懒,什么都没有留下。

留下一个回复

你的email不会被公开。