- 1、本文档共25页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
TechTarget 中国《漏洞管理指南》 1
所有内容版权均归 TechTarget 中国所有,未经许可不得转载。
漏洞管理指南
目 录
应用程序安全漏洞评估方法剖析………………………………………… .3
如何高效使用漏洞管理数据?………………… .……………………… ..10
如何处理网络渗透测试结果?…………………………………………… 14
如何确定你的 Windows 补丁级别?………………………………… ..19
五步评估你的安全状态…………………………………………………… 22
TechTarget 中国《漏洞管理指南》 2
所有内容版权均归 TechTarget 中国所有,未经许可不得转载。
应用程序安全漏洞评估方法剖析
安全管理人员对以下情景一定不会陌生:尽管企业要求安全管理人员保护企业
业务,以防受到应用程序安全漏洞的威胁,但在企业部署的数百个甚至数千个应用
程序中,很少有应用程序进行了充分的安全评估。
面对大量可能不安全的应用程序、有限的评估资源和难以承受的压力,在对企
业的应用程序进行安全评估这一问题上,许多安全管理人员只能疲于应付。随着应
用程序迅速成为最受恶意攻击者青睐的载体,攻击者试图利用应用程序中的漏洞破
坏企业的日常业务活动,或者渗透企业的防御体系以窃取敏感数据。因此,安全管
理人员应该确保对应用程序进行安全评估。
本文将对几种应用程序安全评估技术进行分析,并对应用程序评估的策略范例
进行比较,以进一步阐明企业应用程序安全评估流程。
专业的应用程序安全评估方法
对于不熟悉应用程序安全性的人来说,下面的三种评估方法可能会令他们晕头
转向。不过,每种方法都有其值得称道的地方,适用于不同的评估类型。
? 运行时漏洞评估( Runtime Vulnerability Assessment )——运行时
漏洞评估有三种方式:自动、手动和两者结合。一般来说,与手动评估相
TechTarget 中国《漏洞管理指南》 3
所有内容版权均归 TechTarget 中国所有,未经许可不得转载。
比,自动评估的速度更快,评估的范围更广。但是,自动评估往往会漏掉
不明显的漏洞,也不能发现业务逻辑缺陷。因此,大多数经验丰富的应用
程序安全专家通常倾向于采用自动和手动相结合的方式。
? 源代码审查( Source-Code Review )——利用源代码审查,评估人员
可以发现应用程序中存在的各种漏洞,但该方法要求评估人员具有深厚的
编程语言和安全功底,而且通常需要比运行时漏洞评估更长的时间。与运
行时漏洞评估一样,源代码审查也有自动、手动和两者结合三种方式。这
些方式各有利弊,类似于运行时漏洞评估的三种方式。
? 威胁建模技术( Threat-Modeling Technique )——威胁建模技术主要
是从设计的角度评估相关的、理论性的应用程序威胁。通常情况下,威胁
建模先于源代码审查和运行时漏洞评估进行。
然而,选择适当的评估方法组合并不容易。许多企业都深受这一问题的困扰。
下面我们将介绍几种方法,以帮助企业确定适当的应用程序安全评估流程:
文档评论(0)