应用安全测试
应用开发绝大多数人都是正向逻辑,能够把反向场景想到并修复调的极少,特别是国内几乎未曾见过,不知是国内外文化不同,还是国内竞争压力太大;
2B市场,软件系统的交付往往伴随‘安全性’自证,关于这个‘自证’本身非常值得吐槽,特别是金融市场的客户,几乎都是网络封闭环境,TMD的漏洞检测。
漏洞扫描市场是非常大,其本身也非常专业,有较高门槛(对于大多数软件开发人员来说);这个门槛,也说明了在安全领域了这么多家企业的存在是有价值的,还有好几家都上市了。
应用漏洞检测
这次的漏洞主要围绕应用软件系统,不包括服务器、数据库之类。
借着本次机会,盘点了漏洞扫描市场现状。首先,从0开始自己扫描这条路非安全领域内人员请不要尝试;其次,采用开源的检测工具,围绕怎么用好它展开,又或者采购服务商检测软件或者能力;最后,在开源基础上二次开发(加入特性),非大平台不建议。
AST有哪些
漏洞扫描AST,分为SAST、DAST、IAST几种,“静态、动态、集成”应用程序安全测试;
开源几款
- openrasp-iast
百度开源的,主动检测类型,就是安装好后他会主动发起检测。
- 洞态iast
北京火线安全提供,属于被动类型,需要主动点击功能,通过javaagent模式检测。
留给未来反思总结