欧美性sex18—19性摘花,盗摄,91在线超碰,日本一本本道网2014

免費(fèi)獲取策劃方案多一份參考,總有益處

重慶網(wǎng)站建設(shè)

Website construction

案例778

重慶網(wǎng)站建設(shè)

測試軟件時(shí)要避免的4個(gè)最大的網(wǎng)絡(luò)安全錯(cuò)誤

來源:派臣科技|時(shí)間:2020-04-08|瀏覽:

遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)從未像現(xiàn)在這么大。盡管如此,無數(shù)的開發(fā)人員仍然會犯一些關(guān)鍵的錯(cuò)誤,這些錯(cuò)誤使他們變得脆弱而不是受到保護(hù)。

在開發(fā)任何軟件時(shí),都會有無數(shù)的小錯(cuò)誤導(dǎo)致您的軟件的網(wǎng)絡(luò)安全的弱點(diǎn)。這可能使您的軟件及其用戶容易受到各種形式的網(wǎng)絡(luò)攻擊。

了解不同類型的網(wǎng)絡(luò)攻擊是很重要的,因?yàn)樗梢宰屇阒滥憧赡軙媾R什么。同樣,重要的是要了解網(wǎng)絡(luò)攻擊正在變得多么普遍,以及它們發(fā)生的可能性有多大。

由于軟件中的大多數(shù)漏洞都是未修復(fù)的bug,經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全專家會告訴您,您的軟件是否會成為攻擊的受害者不是問題,而是何時(shí)成為攻擊的受害者。

網(wǎng)絡(luò)罪犯是高技能的,通常是經(jīng)驗(yàn)豐富的專家,他們會精心策劃很難阻止的攻擊。因此,在罪犯有機(jī)會之前采取措施防止這些攻擊是至關(guān)重要的。換句話說,在軟件開發(fā)過程中。

互聯(lián)網(wǎng)數(shù)據(jù)顯示,每天有3萬個(gè)網(wǎng)站遭到黑客攻擊。

要防止惡意軟件、DDoS或其他網(wǎng)絡(luò)攻擊,首先要采取措施測試軟件是否存在新的或已存在的漏洞,并在開發(fā)過程中或開發(fā)過程結(jié)束后采取措施避免暴露自己。

本文將解釋開發(fā)人員在軟件測試過程中所犯的四個(gè)最大的網(wǎng)絡(luò)安全錯(cuò)誤,以及可以直接采取哪些步驟來糾正這些錯(cuò)誤。

錯(cuò)誤#1 -沒有滲透測試

對付潛在威脅的最好方法之一是進(jìn)行滲透測試。這是一個(gè)在攻擊者得到機(jī)會之前測試軟件安全性的過程。

為了做到這一點(diǎn),測試人員使用模擬黑客場景的工具來識別和操作安全漏洞。這類漏洞會導(dǎo)致持卡人信息、ip、個(gè)人記錄、健康信息、勒索軟件或其他惡意攻擊在真實(shí)世界中丟失。

這是更廣泛的網(wǎng)絡(luò)安全的重要組成部分。通過滲透測試,您的公司或開發(fā)團(tuán)隊(duì)可以發(fā)現(xiàn)安全風(fēng)險(xiǎn)、遵從性缺口,并模擬大規(guī)模數(shù)據(jù)泄漏的潛在現(xiàn)實(shí)后果。

這些也可以用來準(zhǔn)備信息安全團(tuán)隊(duì)來處理網(wǎng)絡(luò)攻擊,并測試他們的響應(yīng)時(shí)間。同樣,可以規(guī)劃安全預(yù)算,并在更有彈性的安全措施后保護(hù)重要的數(shù)據(jù)區(qū)域。

如果沒有這個(gè)簡單而有效的過程,您的軟件將暴露在巨大的風(fēng)險(xiǎn)中,因?yàn)槟旧鲜亲屗幱陂_放的狀態(tài),不管您的軟件中是否存在漏洞。很有可能(除非您是天才的savant開發(fā)人員)您會這樣做。

錯(cuò)誤#2 -沒有第三方代碼測試

這可能會讓人們感到驚訝,但是開發(fā)人員很少從頭開始構(gòu)建軟件。相反,他們所做的是構(gòu)建由現(xiàn)有代碼、工具和其他已購買的軟件或開源軟件組成的軟件。

一個(gè)很好的例子就是擁有第三方引擎的電子游戲,比如虛幻引擎。

此第三方代碼通常用于對您正在開發(fā)的軟件執(zhí)行重要功能。由于這可能影響最終構(gòu)建的各個(gè)元素,因此確保該元素的安全性至關(guān)重要。但通常情況并非如此。

第三方代碼/軟件可能充滿了漏洞,而這些漏洞是最初的開發(fā)人員或后續(xù)用戶沒有注意到的,或者只是忽略了。最重要的是,許多開發(fā)人員不能準(zhǔn)確地說出他們正在使用哪些第三方元素,或者他們是否經(jīng)過了安全審計(jì)。

這給開發(fā)人員留下了一個(gè)奇怪的難題。從頭開始編寫代碼是不可能的,但是希望安全漏洞被黑客忽略也是不可接受的。那么我們能做些什么呢?

首先,準(zhǔn)確地知道正在使用什么代碼是至關(guān)重要的。其次,更重要的是確保它經(jīng)過了測試并被發(fā)現(xiàn)是可靠的。通過將自己限制在已經(jīng)被發(fā)現(xiàn)是可靠的第三方元素上,您將在很大程度上確保您的軟件具有類似級別的可靠安全性。

這看起來像是多余的工作,但是軟件的生死取決于它的安全聲譽(yù)——這對任何開發(fā)團(tuán)隊(duì)或公司來說都是壞消息。WordPress插件經(jīng)常因?yàn)樵愀獾脑u論而被閑置,并且十分之六的客戶在使用它們之前會檢查它們的評論——所以最好確保你的代碼是安全的,你的聲譽(yù)是可靠的。

錯(cuò)誤#3 -硬編碼密碼,活躍的后門帳戶,安全性差

一個(gè)巨大的(而且太常見的)測試錯(cuò)誤是在測試期間使用后門帳戶,忘記它們的存在,然后忘記刪除它們。當(dāng)然,不太可能有人會找到它。但如果他們這樣做了,你可能會在一個(gè)網(wǎng)絡(luò)攻擊傷害的世界中結(jié)束。

這方面的一個(gè)例子是,思科發(fā)現(xiàn)他們留下了后門帳戶開放,讓攻擊者根訪問脆弱的設(shè)備。

同樣地,項(xiàng)目Basecamp發(fā)現(xiàn)無數(shù)的管理帳戶和登錄被硬連接到ICS固件。然而,當(dāng)他們通知供應(yīng)商時(shí),得到的回應(yīng)不是“哇”的一聲,而是匆忙的解釋這些事情很重要。實(shí)際上,這些都是巨大的安全漏洞,任何人都可以利用。

攻擊甚至可以來自內(nèi)部,因?yàn)镃apital One的密碼防護(hù)很差,導(dǎo)致了巨大的數(shù)據(jù)泄露。盡管相當(dāng)獨(dú)特、強(qiáng)大的網(wǎng)絡(luò)安全、更好的密碼規(guī)則以及對他們軟件的更深入了解可能有所幫助。

對于任何正在測試的軟件,您都希望確保在完成測試后,所有后門帳戶都已關(guān)閉,所有登錄憑證都已刪除。這是非常容易做到的,但是經(jīng)常被忽略,給攻擊者留下了一個(gè)額外的攻擊途徑。

錯(cuò)誤#4 -不安全的數(shù)據(jù)

數(shù)據(jù)安全可以說是編程界最大的安全問題。不安全的、未加密的數(shù)據(jù)處理有許多不同的類型,但對于程序員來說,總是出現(xiàn)經(jīng)常出錯(cuò)的情況。例如,缺乏加密很容易成為程序員犯的最大錯(cuò)誤之一。

敏感數(shù)據(jù)在傳輸期間和靜止?fàn)顟B(tài)下如果不加密就無法處理。少做一點(diǎn)就會讓它變得非常脆弱。這可以是任何數(shù)據(jù),包括:密碼、用戶名、網(wǎng)絡(luò)攝像頭訪問權(quán)限、財(cái)務(wù)信息等等。其中一些會讓用戶花錢,而另一些則會嚴(yán)重侵犯用戶的隱私。

加密實(shí)踐在各行業(yè)中變得越來越普遍。不僅是在軟件中,現(xiàn)在電子商務(wù)企業(yè)甚至博客都要求使用SSL加密技術(shù)來保護(hù)web服務(wù)器到瀏覽器的連接。

但對數(shù)據(jù)進(jìn)行加密并不是萬靈藥。您必須測試您的加密工具,以確保它們得到充分實(shí)施,并能夠承受所有的強(qiáng)力網(wǎng)絡(luò)攻擊。這意味著使用現(xiàn)代的、最先進(jìn)的加密方法。

同樣,如果包含它的代碼充滿漏洞,黑客可以利用這些漏洞,那么健壯的加密就沒有什么意義。不管加密與否,他們?nèi)匀豢梢栽L問數(shù)據(jù)。

這類問題的一個(gè)例子就是Abobe被黑客竊取了超過1.5億個(gè)客戶密碼。這些代碼是加密的,但只使用對稱的、可逆的加密。這意味著,如果黑客有足夠的技術(shù)發(fā)現(xiàn)加密密鑰,他就可以以明文查看每個(gè)密碼。

知道像Adobe這樣的開發(fā)人員如此粗心大意,對公司的品牌幾乎沒有任何幫助。在個(gè)人層面,采取行動,例如建立安全的軟件防火墻,以阻止未經(jīng)授權(quán)的訪問您的計(jì)算機(jī)系統(tǒng)和加密您的網(wǎng)絡(luò)與VPN服務(wù)將是絕對的最低限度的事情,你可以做,以幫助確保您的隱私和安全。

這里的教訓(xùn)是,必須認(rèn)真對待加密。不僅是一種適用于所有安全措施的一刀切的方法,而且是一種與您的軟件本身一樣經(jīng)過嚴(yán)格測試的方法。

結(jié)論

沒有人希望自己的軟件成為大規(guī)模網(wǎng)絡(luò)攻擊的核心。沒有人想成為下一個(gè)Abobe或思科。但隨著網(wǎng)絡(luò)犯罪的增加,以及更復(fù)雜的攻擊形式的發(fā)展,發(fā)布未經(jīng)徹底測試的軟件不再是一個(gè)選擇。

開發(fā)人員犯的四個(gè)最大錯(cuò)誤歸結(jié)為缺乏對他們的代碼如何變得脆弱的清晰理解。通過了解他們的代碼將具有來自第三方軟件的固有的和采用的弱點(diǎn),開發(fā)人員可以嚴(yán)格地測試他們的軟件,并防止這些錯(cuò)誤影響他們的軟件。

同樣,在測試后進(jìn)行整理也是至關(guān)重要的,因?yàn)樗兄诖_保后門賬戶和硬編碼密碼已被刪除。適當(dāng)?shù)臄?shù)據(jù)安全也必須是最重要的,因?yàn)椴话踩臄?shù)據(jù)會導(dǎo)致大量的數(shù)據(jù)泄露,這不僅會損害您的客戶,還會損害您的軟件聲譽(yù)。

留言

返回頂部

君
重慶網(wǎng)站建設(shè)重慶網(wǎng)站建設(shè)測試軟件時(shí)要避免的4個(gè)最大的網(wǎng)絡(luò)安全錯(cuò)誤
国产乱码人妻一区二区三区四区| 婷婷色五月19p| av男人天堂| xx av| 在线观看色| 久久久久久久久免费| 阿v天堂在线| 6080无码在线| 午夜a级片| 久久情久久情免费| 日韩色欲人妻少妇| 草原免费视频亚洲| 欧洲亚洲精品| 成熟丰满熟妇AV无码区五季| 欧美日韩黄色电影| 涩涩蜜桃视频www| 午夜成人理论福利片| 日韩欧美P视频| 国产一区二区日韩欧美| 综合欧美网| 丁香午夜| 通渭县| 十八禁网| 欧美日韩台湾澳门一级黄色大片| 99久久九九社区精品| 久久久久久久产国| 国产亚洲欧美日韩精品一区二区| 亚洲一区二区在线观| 亚洲男人的天堂av| 综合自拍导航| 欧美日韩一道本| 欧美性生交xxxxx久久久| 在线成人小视频| Ww激情AV| 国产传媒在线播放| 连江县| 91色综合久久久久婷婷| aⅴ色综合久久天堂av色综合| 日本精品精品精品| 伊人大大蕉视频在线| 日本久久中文|