一位网络渗透测试专家给企业的几条建议

Halo Secure公司的首席运营官 Nick Merritt负责管理公司提供的安全套餐和服务，他已经负责并领导开展了超过300次的网络安全渗透测试工作。通过在各类企业中的大量安全性测试实践，Nick Merritt从攻击者的视角，总结了目前企业组织在信息化系统防护中的普遍弱点和常见错误，并给出了提升应用系统安全性的几点建议：

01 自动化安全扫描还远远不够

如果企业只是使用自动化工具扫描Web应用程序的安全性，那么很多安全漏洞都会成为漏网之鱼，因为这类工具通常使用了模糊测试（一种将畸形数据注入系统来验证安全的方法），而这种技术会产生大量的误报和漏报。

02应用系统自带的身份验证通常不可靠

身份验证是确保Web应用程序安全性的关键因素之一。但是在实际测试中发现，开发人员在应用系统中创建的身份验证及密码管理流程，通常都没有采用绝对安全、绝对可靠的方式。

03不存在“超范围”的渗透测试观念

Web应用程序已经变得非常复杂，会涉及较广泛的资源和资产整合与利用。这就需要开发者通过后端API服务器利用，以支持主应用程序的各种功能。

企业应该向执行渗透测试的安全人员告知所有这些外部资产，以及它们如何与应用系统之间进行关联交互，这对保障安全很重要。开发人员可能认为这些资产“超范围”，因此不需要对它们负责。但攻击者可不会遵守任何的攻击界限，大量渗透测试结果也表明，企业中的资源和资产，没有什么是“超范围”的。这意味着，如果你的网络安全系统出现问题，那么你的企业也会受到影响。因此，在这种情况下，我们必须确保我们的网络安全策略符合最新的国家标准，并且不会因为时间的推移而变得过时。

（编辑：常州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!