安全漏洞扫描1

Owen Jia 2023年08月01日 508次浏览

应用安全测试

应用开发绝大多数人都是正向逻辑,能够把反向场景想到并修复调的极少,特别是国内几乎未曾见过,不知是国内外文化不同,还是国内竞争压力太大;

2B市场,软件系统的交付往往伴随‘安全性’自证,关于这个‘自证’本身非常值得吐槽,特别是金融市场的客户,几乎都是网络封闭环境,TMD的漏洞检测。

漏洞扫描市场是非常大,其本身也非常专业,有较高门槛(对于大多数软件开发人员来说);这个门槛,也说明了在安全领域了这么多家企业的存在是有价值的,还有好几家都上市了。

应用漏洞检测

这次的漏洞主要围绕应用软件系统,不包括服务器、数据库之类。

借着本次机会,盘点了漏洞扫描市场现状。首先,从0开始自己扫描这条路非安全领域内人员请不要尝试;其次,采用开源的检测工具,围绕怎么用好它展开,又或者采购服务商检测软件或者能力;最后,在开源基础上二次开发(加入特性),非大平台不建议。

AST有哪些

漏洞扫描AST,分为SAST、DAST、IAST几种,“静态、动态、集成”应用程序安全测试;

漏洞扫描

开源几款

  • openrasp-iast

百度开源的,主动检测类型,就是安装好后他会主动发起检测。

https://rasp.baidu.com/

  • 洞态iast

北京火线安全提供,属于被动类型,需要主动点击功能,通过javaagent模式检测。

https://www.dongtai.io/

留给未来反思总结