51Testing软件测试论坛

标题: 源代码安全审查测试心得 [打印本页]

作者: ych999999999 时间: 2018-9-13 14:29
标题: 源代码安全审查测试心得
最近对一些WEB项目的源代码进行安全审查。在审查过程中发现，大多数开发单位的安全意识不高，主要体现在：
  1. 在项目开发过程中主要关注功能需求，未考虑安全需求。
  2. 虽有编码规范，但没有对安全方面提出要求。同时开发人员对安全编码知识了解有限或不了解，导致代码中存在一些不安全的编码方式。
  因此，被审查项目中常常存在一些常见的安全漏洞和业务逻辑处理的问题，如SQL注入、XSS、任意类型文件上传、目录遍历、命令注入、硬编码、缺失的权限检查、水平越权等。由于软件缺陷在后期的维护成本比前期的要大很多。因此，为提高软件安全质量，并节省后期的维护成本，应在软件开发初期，对系统面临的风险进行分析，提出安全要求，并在后续的设计、开发过程中对其进行实施。在安全设计过程中，需要考虑的常见的安全控制区域包括：输入验证、输出编码、身份验证、会话管理、授权、加密、错误处理、日志等。

作者: lsekfe 时间: 2018-9-14 15:48
支持下！

作者: qqq911 时间: 2018-9-17 11:20
感谢分享

作者: jingzizx 时间: 2018-9-17 11:24
目前确实是这样的

作者: 梦想家 时间: 2018-9-17 11:39

欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/)