51Testing软件测试论坛

 找回密码
 (注-册)加入51Testing

QQ登录

只需一步,快速开始

微信登录,快人一步

手机号码,快捷登录

查看: 2513|回复: 4
打印 上一主题 下一主题

[原创] 源代码安全审查测试心得

[复制链接]

该用户从未签到

跳转到指定楼层
1#
发表于 2018-9-13 14:29:41 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
   最近对一些WEB项目的源代码进行安全审查。在审查过程中发现,大多数开发单位的安全意识不高,主要体现在:
  1. 在项目开发过程中主要关注功能需求,未考虑安全需求。
  2. 虽有编码规范,但没有对安全方面提出要求。同时开发人员对安全编码知识了解有限或不了解,导致代码中存在一些不安全的编码方式。
  因此,被审查项目中常常存在一些常见的安全漏洞和业务逻辑处理的问题,如SQL注入、XSS、任意类型文件上传、目录遍历、命令注入、硬编码、缺失的权限检查、水平越权等。由于软件缺陷在后期的维护成本比前期的要大很多。因此,为提高软件安全质量,并节省后期的维护成本,应在软件开发初期,对系统面临的风险进行分析,提出安全要求,并在后续的设计、开发过程中对其进行实施。在安全设计过程中,需要考虑的常见的安全控制区域包括:输入验证、输出编码、身份验证、会话管理、授权、加密、错误处理、日志等。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏
回复

使用道具 举报

  • TA的每日心情
    奋斗
    前天 07:50
  • 签到天数: 2818 天

    连续签到: 6 天

    [LV.Master]测试大本营

    4#
    发表于 2018-9-17 11:24:23 | 只看该作者
    目前确实是这样的
    回复 支持 反对

    使用道具 举报

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    小黑屋|手机版|Archiver|51Testing软件测试网 ( 沪ICP备05003035号 关于我们

    GMT+8, 2024-11-25 05:11 , Processed in 0.064693 second(s), 23 queries .

    Powered by Discuz! X3.2

    © 2001-2024 Comsenz Inc.

    快速回复 返回顶部 返回列表