linkyou66
- 浏览: 234934 次
- 性别:
- 来自: 杭州
-
文章分类
最新评论
目前互联网安全领域的问题(2008)
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span lang="EN-US"><span style="font-family: Calibri;">2009</span></span><span style="">年注定将被证明是在应用安全性领域一个备受关注的时间,就像我们所知道的</span><span lang="EN-US"><span style="font-family: Calibri;">Web2.0</span></span><span style="">快速发展。</span><span style="font-family: Calibri;"> </span><span style="">人们将搭上</span><span lang="EN-US"><span style="font-family: Calibri;">PCI</span></span><span style="">的列车,在更加安全的平台上重写他们的应用,更加重视如何安装的</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用防火墙等问题。</span><span style="font-family: Calibri;"> </span><span style="">但是,应用程序的安全性应该有的措施</span><span lang="EN-US"><span style="font-family: Calibri;">,</span></span><span style="">现在还没有做到。本栏解释在软件安全性测试,质量保证和保护,防止黑客去年还没有做到的地方</span><span lang="EN-US"><span style="font-family: Calibri;">,</span></span><span style="">今年大家可以往这个方向努力</span><span lang="EN-US"><span style="font-family: Calibri;">,</span></span><span style="">填补空白。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们的开发人员在安全性上仍然没有引起重视。</span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我去年的工作中,和诸多的开发者合开发经理们面谈之后,相信,安全还不是他们最优先考虑的问题。开发商甚至不知道开放万维网应用安全项目(</span><span lang="EN-US"><span style="font-family: Calibri;"> OWASP </span></span><span style="">)或密码和</span><span lang="EN-US"><span style="font-family: Calibri;">SSL</span></span><span style="">定义应用程序的安全性这些东西,所以这方面我们还有一些工作要做。</span><span style="font-family: Calibri;"> </span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们</span></strong><strong><span style="" lang="EN-US">QA</span></strong><strong><span style="">测试测试方面,没有足够强调安全也是整个软件的质量。</span></strong><strong><span style=""> </span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我从来没有谈过了质量测试谁实际执行安全检查,谁来执行基本安全验证测试过程和密码控制测试。对于安全一般都会认为这是将来的事情。眼前测试重点是功能和一般可用性。</span><span style="font-family: Calibri;"> </span><span style="">只要</span><span lang="EN-US"><span style="font-family: Calibri;">QA</span></span><span style="">测试可以确保代码交付承诺的功能性需求被满足,那么产品就可以发布了。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">事实上所有</span></strong><strong><span style="" lang="EN-US">IT</span></strong><strong><span style="">专业人员都习惯假设,应用安全在开发和质量控制环节已经得到保证。</span></strong><strong><span style="" lang="EN-US"> </span></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">有了这些共同的疏忽,很容易安全问题在开发和测试环节就被遗漏。</span><span style="font-family: Calibri;"> </span><span style="">这种心态不仅是短视的,这是危险的。</span><span style="font-family: Calibri;"> </span><span style="">应用安全涉及很多其他人,包括网络管理员,数据库管理员,项目经理,安全管理人员,合规人员,甚至是在产品营销。</span><span style="font-family: Calibri;"> </span><span style="">还需要的管理人员的支持</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">这的往往是最缺乏的。</span><span style="font-family: Calibri;"> </span><span style="">管理人员往往不理解安全的价值,并为之付钱。除非及管理人员并考虑对信息技术的安全问题引起引起足够重视严重,否这我们会继续看到与安全有关的事故。</span><span style="font-family: Calibri;"> </span><span style="">最让我觉得郁闷的是,管理者好像更关注人力资源,市场营销和法律方面人员的意见,而很少向</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">部门技术人员咨询这方面的问题。</span><span style="font-family: Calibri;"> </span><span style="">在</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">的声音对于管理者好像并不十分重要。不幸的是,许多在管理者</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">包括大量的办公人员和内部法律顾问</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">认为遵守一些基本的政策是足以涵盖安全方面的东西。</span><span style="font-family: Calibri;"> </span><span style="">这是一个多大的笑话。</span><span style="font-family: Calibri;"> </span><span style="">我理解是遵守一个复杂的规定需要付出昂贵的代价,但是,这并不意味着它不应该受到重视。</span><span style="font-family: Calibri;"> </span><span style="">我已经看到企业在许多领域的科技,当遇到合理的要求时,已经开始做应用的安全检查。</span><span style="font-family: Calibri;"> </span><span style="">我想</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">经理认为,应用安全是一个开发部门</span><span lang="EN-US"><span style="font-family: Calibri;">/</span></span><span style="">质量部门问题,因此不属于</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">部门范围。事实上,我仍然可以看到一些组织已经认识到深入应用的安全性评估的价值。许多人这样做并不是因为他们理应遵守合同的原因,而是因为它们的财政审计是告诉他们,他们需要。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们似乎没有找到一种办法来弥补的最大的弱点。</span></strong><strong><span style="" lang="EN-US"> </span></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">你有没有注意到,同样的老问题依然存在?</span><span style="font-family: Calibri;"> </span><span style="">在</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用安全联盟的</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用安全统计项目在</span><span lang="EN-US"><span style="font-family: Calibri;">2007</span></span><span style="">年</span><span lang="EN-US"><span style="font-family: Calibri;">- 2008</span></span><span style="">年</span><span lang="EN-US"><span style="font-family: Calibri;">9</span></span><span style="">月发布的一系列流行的</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">安全漏洞:跨站点脚本,</span><span lang="EN-US"><span style="font-family: Calibri;"> SQL</span></span><span style="">注入和信息泄漏。</span><span style="font-family: Calibri;"> </span><span style="">虽然在我的工作中已经很少看见</span><span lang="EN-US"><span style="font-family: Calibri;">Sql</span></span><span style="">注入了,但这仍然是一个问题。另一方面,跨站点脚本是出现无处不在。</span><span style="font-family: Calibri;"> </span><span style="">这是现实中每个网站的情况。</span><span style="font-family: Calibri;"> </span><span style="">这是非常令人难以置信的,因为跨站点脚本的预防措施和修复程序都相对简单</span><span style="font-family: Calibri;"> </span><span style="">。事实是发布的程序根本没有验证的方式,所以网络钓鱼和恶意软件攻击比以往任何时候都更加恶化。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><strong><span style=""><span style="font-size: small;">供应商自能提供安全扫描工具,而不是安全扫描工具的价值。</span></span></strong></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我认为,惠普收购</span><span lang="EN-US"><span style="font-family: Calibri;">SPI Dynamics</span></span><span style="">公司和</span><span lang="EN-US"><span style="font-family: Calibri;">IBM</span></span><span style="">收购</span><span lang="EN-US"><span style="font-family: Calibri;">Watchfire</span></span><span style="">公司在</span><span lang="EN-US"><span style="font-family: Calibri;">2007</span></span><span style="">年将真正有助于推动网络漏洞扫描和源代码分析技术的最前沿。但是如果有价值的工具如果在购买它的企业中无法发挥价值,那也白搭。</span><span lang="EN-US"><span style="font-family: Calibri;">.</span></span><span style="">我是一个大提倡使用商用工具,如</span><span lang="EN-US"><span style="font-family: Calibri;">WebInspect</span></span><span style="">和</span><span lang="EN-US"><span style="font-family: Calibri;">Acunetix</span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">做网络漏洞扫描和渗透方面测试,同时使用</span><span lang="EN-US"><span style="font-family: Calibri;">DevInspect</span></span><span style="">和</span><span lang="EN-US"><span style="font-family: Calibri;">Checkmarx</span></span><span style="">做静态源代码分析。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我们只是需要更多的人谁认识其价值,并愿意投资于他们。我们没有意识到应用安全评估过程中人肉的作用。正如我喜欢自动化网络漏洞扫描器,他们只告诉大约一半的故事。不幸的是,太多的人依赖于他们的</span><span lang="EN-US"><span style="font-family: Calibri;">100 </span></span><span style="">%的应用程序的安全性评估</span><span lang="EN-US"><span style="font-family: Calibri;">;</span></span><span style="">特别是在渗透测试方面。</span><span style="font-family: Calibri;"> </span><span style="">我真诚地相信,你绝对必须使用手工分析技术对</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用程序,浏览器插件,客户端服务器应用服务和任何你找到找到安全漏洞的应用。我可以很确切的说我曾经点最大的应用程序安全漏洞,而自动化的漏洞扫描器没有找到。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">谁对</span></strong><strong><span style="" lang="EN-US">2009</span></strong><strong><span style="">充满期待</span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">尽管我玩世不恭,我还是希望对</span><span lang="EN-US"><span style="font-family: Calibri;">2009</span></span><span style="">的网络安全做个预测</span><span style="font-family: Calibri;"> </span><span style="">。老实说,我怀疑</span><span lang="EN-US"><span style="font-family: Calibri;">2009</span></span><span style="">可能不会有很好的改观,(由于金融危机)现在对资金的项目审批更加严格,和老板要钱越来越难。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style=""><span style="font-size: small;">虽然如此,我想说得是危机也意味着机遇。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span lang="EN-US"><span style="font-family: Calibri;">finally -- get caught up on things left undone.</span></span><span style="">(人家用成语咱就不翻译了,用马云的话,阳光灿烂的日子修理屋顶)。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">无论是静态源代码分析,黑箱渗透测试,或者仅仅了解安全方面需要做的基本工作,现在正是时候。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;">About the author: Kevin Beaver is an independent information security consultant, speaker and expert witness with Atlanta-based Principle Logic LLC , where he specializes in performing independent security assessments.</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;">Kevin has authored/co-authored six books on information security, including Hacking For Dummies and Hacking Wireless Networks For Dummies (Wiley).He's also the creator of the </span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们的开发人员在安全性上仍然没有引起重视。</span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我去年的工作中,和诸多的开发者合开发经理们面谈之后,相信,安全还不是他们最优先考虑的问题。开发商甚至不知道开放万维网应用安全项目(</span><span lang="EN-US"><span style="font-family: Calibri;"> OWASP </span></span><span style="">)或密码和</span><span lang="EN-US"><span style="font-family: Calibri;">SSL</span></span><span style="">定义应用程序的安全性这些东西,所以这方面我们还有一些工作要做。</span><span style="font-family: Calibri;"> </span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们</span></strong><strong><span style="" lang="EN-US">QA</span></strong><strong><span style="">测试测试方面,没有足够强调安全也是整个软件的质量。</span></strong><strong><span style=""> </span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我从来没有谈过了质量测试谁实际执行安全检查,谁来执行基本安全验证测试过程和密码控制测试。对于安全一般都会认为这是将来的事情。眼前测试重点是功能和一般可用性。</span><span style="font-family: Calibri;"> </span><span style="">只要</span><span lang="EN-US"><span style="font-family: Calibri;">QA</span></span><span style="">测试可以确保代码交付承诺的功能性需求被满足,那么产品就可以发布了。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">事实上所有</span></strong><strong><span style="" lang="EN-US">IT</span></strong><strong><span style="">专业人员都习惯假设,应用安全在开发和质量控制环节已经得到保证。</span></strong><strong><span style="" lang="EN-US"> </span></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">有了这些共同的疏忽,很容易安全问题在开发和测试环节就被遗漏。</span><span style="font-family: Calibri;"> </span><span style="">这种心态不仅是短视的,这是危险的。</span><span style="font-family: Calibri;"> </span><span style="">应用安全涉及很多其他人,包括网络管理员,数据库管理员,项目经理,安全管理人员,合规人员,甚至是在产品营销。</span><span style="font-family: Calibri;"> </span><span style="">还需要的管理人员的支持</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">这的往往是最缺乏的。</span><span style="font-family: Calibri;"> </span><span style="">管理人员往往不理解安全的价值,并为之付钱。除非及管理人员并考虑对信息技术的安全问题引起引起足够重视严重,否这我们会继续看到与安全有关的事故。</span><span style="font-family: Calibri;"> </span><span style="">最让我觉得郁闷的是,管理者好像更关注人力资源,市场营销和法律方面人员的意见,而很少向</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">部门技术人员咨询这方面的问题。</span><span style="font-family: Calibri;"> </span><span style="">在</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">的声音对于管理者好像并不十分重要。不幸的是,许多在管理者</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">包括大量的办公人员和内部法律顾问</span><span lang="EN-US"><span style="font-family: Calibri;">-</span></span><span style="">认为遵守一些基本的政策是足以涵盖安全方面的东西。</span><span style="font-family: Calibri;"> </span><span style="">这是一个多大的笑话。</span><span style="font-family: Calibri;"> </span><span style="">我理解是遵守一个复杂的规定需要付出昂贵的代价,但是,这并不意味着它不应该受到重视。</span><span style="font-family: Calibri;"> </span><span style="">我已经看到企业在许多领域的科技,当遇到合理的要求时,已经开始做应用的安全检查。</span><span style="font-family: Calibri;"> </span><span style="">我想</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">经理认为,应用安全是一个开发部门</span><span lang="EN-US"><span style="font-family: Calibri;">/</span></span><span style="">质量部门问题,因此不属于</span><span lang="EN-US"><span style="font-family: Calibri;">IT</span></span><span style="">部门范围。事实上,我仍然可以看到一些组织已经认识到深入应用的安全性评估的价值。许多人这样做并不是因为他们理应遵守合同的原因,而是因为它们的财政审计是告诉他们,他们需要。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">我们似乎没有找到一种办法来弥补的最大的弱点。</span></strong><strong><span style="" lang="EN-US"> </span></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">你有没有注意到,同样的老问题依然存在?</span><span style="font-family: Calibri;"> </span><span style="">在</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用安全联盟的</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用安全统计项目在</span><span lang="EN-US"><span style="font-family: Calibri;">2007</span></span><span style="">年</span><span lang="EN-US"><span style="font-family: Calibri;">- 2008</span></span><span style="">年</span><span lang="EN-US"><span style="font-family: Calibri;">9</span></span><span style="">月发布的一系列流行的</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">安全漏洞:跨站点脚本,</span><span lang="EN-US"><span style="font-family: Calibri;"> SQL</span></span><span style="">注入和信息泄漏。</span><span style="font-family: Calibri;"> </span><span style="">虽然在我的工作中已经很少看见</span><span lang="EN-US"><span style="font-family: Calibri;">Sql</span></span><span style="">注入了,但这仍然是一个问题。另一方面,跨站点脚本是出现无处不在。</span><span style="font-family: Calibri;"> </span><span style="">这是现实中每个网站的情况。</span><span style="font-family: Calibri;"> </span><span style="">这是非常令人难以置信的,因为跨站点脚本的预防措施和修复程序都相对简单</span><span style="font-family: Calibri;"> </span><span style="">。事实是发布的程序根本没有验证的方式,所以网络钓鱼和恶意软件攻击比以往任何时候都更加恶化。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><strong><span style=""><span style="font-size: small;">供应商自能提供安全扫描工具,而不是安全扫描工具的价值。</span></span></strong></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我认为,惠普收购</span><span lang="EN-US"><span style="font-family: Calibri;">SPI Dynamics</span></span><span style="">公司和</span><span lang="EN-US"><span style="font-family: Calibri;">IBM</span></span><span style="">收购</span><span lang="EN-US"><span style="font-family: Calibri;">Watchfire</span></span><span style="">公司在</span><span lang="EN-US"><span style="font-family: Calibri;">2007</span></span><span style="">年将真正有助于推动网络漏洞扫描和源代码分析技术的最前沿。但是如果有价值的工具如果在购买它的企业中无法发挥价值,那也白搭。</span><span lang="EN-US"><span style="font-family: Calibri;">.</span></span><span style="">我是一个大提倡使用商用工具,如</span><span lang="EN-US"><span style="font-family: Calibri;">WebInspect</span></span><span style="">和</span><span lang="EN-US"><span style="font-family: Calibri;">Acunetix</span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">做网络漏洞扫描和渗透方面测试,同时使用</span><span lang="EN-US"><span style="font-family: Calibri;">DevInspect</span></span><span style="">和</span><span lang="EN-US"><span style="font-family: Calibri;">Checkmarx</span></span><span style="">做静态源代码分析。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">我们只是需要更多的人谁认识其价值,并愿意投资于他们。我们没有意识到应用安全评估过程中人肉的作用。正如我喜欢自动化网络漏洞扫描器,他们只告诉大约一半的故事。不幸的是,太多的人依赖于他们的</span><span lang="EN-US"><span style="font-family: Calibri;">100 </span></span><span style="">%的应用程序的安全性评估</span><span lang="EN-US"><span style="font-family: Calibri;">;</span></span><span style="">特别是在渗透测试方面。</span><span style="font-family: Calibri;"> </span><span style="">我真诚地相信,你绝对必须使用手工分析技术对</span><span lang="EN-US"><span style="font-family: Calibri;">Web</span></span><span style="">应用程序,浏览器插件,客户端服务器应用服务和任何你找到找到安全漏洞的应用。我可以很确切的说我曾经点最大的应用程序安全漏洞,而自动化的漏洞扫描器没有找到。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><strong><span style="">谁对</span></strong><strong><span style="" lang="EN-US">2009</span></strong><strong><span style="">充满期待</span></strong><strong></strong></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">尽管我玩世不恭,我还是希望对</span><span lang="EN-US"><span style="font-family: Calibri;">2009</span></span><span style="">的网络安全做个预测</span><span style="font-family: Calibri;"> </span><span style="">。老实说,我怀疑</span><span lang="EN-US"><span style="font-family: Calibri;">2009</span></span><span style="">可能不会有很好的改观,(由于金融危机)现在对资金的项目审批更加严格,和老板要钱越来越难。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style=""><span style="font-size: small;">虽然如此,我想说得是危机也意味着机遇。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span lang="EN-US"><span style="font-family: Calibri;">finally -- get caught up on things left undone.</span></span><span style="">(人家用成语咱就不翻译了,用马云的话,阳光灿烂的日子修理屋顶)。</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span style="font-size: small;"><span style="">无论是静态源代码分析,黑箱渗透测试,或者仅仅了解安全方面需要做的基本工作,现在正是时候。</span><span lang="EN-US"><span style="font-family: Calibri;"> </span></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;">About the author: Kevin Beaver is an independent information security consultant, speaker and expert witness with Atlanta-based Principle Logic LLC , where he specializes in performing independent security assessments.</span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;">Kevin has authored/co-authored six books on information security, including Hacking For Dummies and Hacking Wireless Networks For Dummies (Wiley).He's also the creator of the </span></span></p>
<p class="MsoNormal" style="margin: 0cm 0cm 0pt;"><span lang="EN-US"><span style="font-size: small; font-family: Calibri;"></span></span></p>
分享到:
发表评论
相关推荐
内容概要:本文详细介绍了应用于电镀生产线的西门子S7-300 PLC控制系统的程序设计、硬件配置以及调试过程中积累的实际经验。主要内容涵盖温度控制、条码记录、行车定位、故障排查等方面的技术细节。文中展示了多个关键功能模块的具体实现方法,如PID温度控制、条码数据处理、行车定位判断等,并分享了一些实用的调试技巧和注意事项。此外,还讨论了硬件配置中的重要细节,如模块地址分配、网络拓扑设计等。 适合人群:从事自动化控制领域的工程师和技术人员,尤其是对PLC编程有一定基础的人群。 使用场景及目标:适用于需要深入了解和掌握电镀生产线自动化控制技术的专业人士。目标是帮助读者理解S7-300 PLC在电镀生产线中的具体应用,提高实际项目的开发效率和可靠性。 其他说明:文章不仅提供了详细的程序代码示例,还分享了许多来自一线的真实案例和实践经验,对于解决实际工程中的问题具有很高的参考价值。
内容概要:本文详细介绍了使用COMSOL Multiphysics进行固体超声导波的二维仿真过程。作者通过建立一个10mm×100mm的铝板模型,应用汉宁窗调制的5周期200kHz正弦激励信号,研究了超声导波在铝板中的传播特性及其模式转换现象。文中涵盖了从模型构建、材料参数设置、网格划分、边界条件设定、激励信号施加到求解设置以及结果分析的完整流程。特别强调了汉宁窗调制的作用,即减少频谱泄漏并提高信号质量。 适合人群:从事超声检测、材料科学、物理学等相关领域的研究人员和技术人员,尤其是那些希望深入了解COMSOL仿真工具及其在超声导波研究中应用的人群。 使用场景及目标:适用于需要精确模拟超声波在固体介质中传播的研究项目,旨在验证理论预测、优化实验设计、评估不同材料和结构对超声波的影响。此外,还可以用于教学目的,帮助学生掌握COMSOL软件的操作方法和超声导波的基础知识。 其他说明:文中提供了详细的参数设置指导和代码片段,有助于读者快速复现仿真过程。同时,作者分享了一些实用技巧,如如何正确设置网格大小、选择合适的窗函数等,以确保仿真结果的准确性。
离职人员分析仪表盘.xlsx
内容概要:本文详细介绍了如何利用LabVIEW搭建一个多功能的虚拟函数信号发生器及其信号分析功能。首先,文章展示了如何通过LabVIEW的前面板和程序框图创建各种常见波形(如正弦波、方波、三角波等),并深入探讨了波形生成的具体实现方法,包括三角波的周期性和斜率计算、白噪声的生成以及自定义公式的解析。接着,文章讨论了信号处理的关键技术,如自相关分析、频谱分析、积分和微分运算,并提供了具体的实现代码和注意事项。此外,文中还分享了一些实用的经验和技术细节,如避免频谱泄漏的方法、处理多频波的技术、防止内存泄漏的措施等。 适用人群:从事信号处理、电子工程、自动化控制等领域的工作技术人员,尤其是那些熟悉或希望学习LabVIEW编程的人士。 使用场景及目标:适用于实验室环境或教学环境中,用于替代传统物理信号发生器进行信号生成和分析实验。主要目标是提高信号生成和分析的灵活性和便捷性,减少对昂贵硬件设备的依赖。 其他说明:本文不仅提供了详细的代码示例,还分享了许多作者在实践中积累的经验教训,帮助读者更好地理解和应用LabVIEW进行信号处理。
线性代数
大雾至尊版V56泛滥无密码.zip
员工生日关怀方案
试用期情况跟踪表.xls
员工激励机制与技巧
员工晋升的自我评价.doc
基于51单片机protues仿真的多功能婴儿车控制器(仿真图、源代码、AD原理图) 该设计为51单片机protues仿真的多功能婴儿车控制器,实现温湿度,音乐,避障,声音监测控制; 1、温湿度检测,婴儿尿湿时会有提醒。 2、声音检测,当婴儿啼哭时也会有提醒。 3、小车避障,小车遇到障碍会后退左转。 4、音乐播放。 5、仿真图、源代码、AD原理图;
内容概要:本文档详细介绍了计算机求职笔试的内容与解答,涵盖编程语言基础、数据结构与算法、编程实践与调试、系统设计与软件工程以及综合题型与开放题五个方面。编程语言基础部分强调了语法规则、数据类型与运算符、面向对象编程的核心概念;数据结构与算法部分讲解了常见数据结构(如线性结构、树与图、哈希表)和高频算法(如排序算法、动态规划、递归与回溯);编程实践与调试部分关注编码能力和调试技巧;系统设计与软件工程部分探讨了设计模式、模块化设计、数据库与网络知识;综合题型与开放题部分则提供了场景题和逻辑思维题的示例。最后给出了备考建议,包括知识体系构建、刷题策略和模拟实战的方法。 适合人群:即将参加计算机相关职位笔试的求职者,特别是对编程语言、数据结构、算法设计有初步了解的应届毕业生或初级工程师。 使用场景及目标:①帮助求职者系统复习计算机基础知识,提升笔试通过率;②通过例题和解答加深对编程语言、数据结构、算法的理解;③提供模拟实战环境,提高时间管理和抗压能力。 阅读建议:建议按照文档提供的知识体系顺序进行系统复习,重点攻克高频题型,利用在线平台刷题练习,并结合实际项目经验进行综合应用,同时注意时间管理和抗压能力的训练。
SecureCRT安装包
物流业人才流失与紧缺现象的对策研究
招聘渠道费用仪表盘P10.pptx
内容概要:本文详细介绍了五相永磁同步电机在Simulink环境下的PI双闭环SVPWM矢量控制建模过程及其优化方法。首先阐述了五相电机相比三相电机的优势,如更小的转矩脉动和更强的容错能力。接着探讨了复杂的Simulink模型搭建,涉及电机本体模块、坐标变换模块、SVPWM模块和PI调节器模块等多个组件。文中提供了具体的Clark变换和PI调节器的代码示例,解释了双闭环控制的工作原理,并详细描述了SVPWM与十扇区划分的具体实现方式。最后展示了模型的性能表现,包括良好的波形质量和快速的动态响应特性。 适合人群:从事电机控制领域的研究人员和技术人员,尤其是对五相永磁同步电机和Simulink建模感兴趣的读者。 使用场景及目标:适用于希望深入了解五相永磁同步电机控制原理并掌握具体实现方法的研究人员和技术人员。目标是帮助读者理解五相电机的特殊性和复杂性,掌握PI双闭环SVPWM矢量控制的建模技巧,提高电机控制系统的设计水平。 其他说明:文章不仅提供了理论知识,还包括了大量的代码片段和实践经验分享,有助于读者更好地理解和应用相关技术。
员工离职交接表-模板.doc
离职率高"冰山"下的真相?你知道多少?
内容概要:本文详细介绍了光伏系统中最大功率点跟踪(MPPT)的一种常见方法——恒定电压法,并探讨了其与PID控制相结合的应用。恒定电压法通过将光伏板的输出电压固定在一个预设值附近,以期接近最大功率点。然而,由于光照和温度的变化,单纯依靠恒定电压法难以精确跟踪最大功率点。因此,引入PID控制器进行动态调整,能够显著提高系统的响应速度和稳定性。文中提供了具体的MATLAB和Python代码示例,展示了如何构建和优化这样的控制系统。同时,还讨论了在Simulink环境中建模时需要注意的关键技术和参数选择。 适合人群:从事光伏系统设计、开发以及维护的技术人员,尤其是希望深入了解MPPT算法原理并掌握具体实现方法的专业人士。 使用场景及目标:适用于需要快速实现MPPT功能的小型光伏系统,特别是在成本受限的情况下。通过学习本文,读者可以掌握恒定电压法的基本概念,学会利用PID控制提升性能的方法,从而更好地应对实际工程项目中的挑战。 其他说明:尽管恒定电压法加上PID控制可以在一定程度上改善MPPT的效果,但它并非最优解。对于更加复杂的环境条件,仍需采用更为先进的算法如电导增量法等。此外,文中提到的一些技巧和注意事项有助于避免常见的错误,确保仿真的准确性。
内容概要:本文详细介绍了利用蒙特卡洛算法进行风光出力预测的方法和技术。首先,通过威布尔分布和Beta分布分别模拟风速和光照强度的变化,生成大量的不确定场景。然后,为了减少计算复杂度并提高实用性,采用了K-means聚类算法对生成的大量场景进行削减,提炼出少数典型场景及其发生的概率。此外,还讨论了如何通过标准化处理解决不同量纲的问题以及如何引入时间相关性以增强模型的真实感。最后,提供了完整的代码实现和一些实用的调参建议。 适用人群:适用于从事电力系统规划、调度工作的专业技术人员,尤其是那些希望深入了解风光出力预测方法论的研究者和从业者。 使用场景及目标:本方法旨在帮助电网调度员更好地理解和应对由风速和光照引起的电力供应不确定性,从而制定更加科学合理的电力调度计划。具体应用场景包括但不限于短期负荷预测、电力市场交易决策支持等方面。 其他说明:文中不仅给出了详细的理论解释和技术实现步骤,还分享了许多实践经验,如选择合适的分布模型、调整参数以适应特定地区的气象条件等。同时强调了在实际应用过程中需要注意的一些潜在问题,例如确保数据的质量和准确性、考虑计算效率等因素。