互联网中Web应用程序也可能会遭受一些攻击,也有一些漏洞。因此,安全测试也是新网站发布的一项重要环节。在北京网站开发和发布过程中,这一点经常被忽略,但这是整个过程中非常重要的一步,它可以帮助我们发现一些意外错误、错误功能和用户体验问题,也可以帮助我们发现一些网站可能导致系统遭受攻击的漏洞。将安全测试加到标准生产发布过程中,可以带来很多好处,而且它产生的应用程序信息多于标准压力测试和用户流量监控所能产生的信息。有许多优秀的书籍介绍如何给Web应用程序“添乱”,或者给软件施加一些随机行为,以确定它是否能够顺利处理。这个过程一定不能忽视。
安全测试应该成为所有新产品发布的一个重要部分,而且不应该事后才想到。它应该在应用程序可以测试时就启动,而且要在整个开发过程中持续进行,直到产品成功发布为止。渗透测试是安全工程师的最主要工作,他的职责就是检测Web应用程序的漏洞和缺陷,并且要在最终用户访问新应用程序之前发现安全问题。Metasploit1框架或Webscarab项目就是很适合在渗透测试过程使用的软件。
1.集成到QA过程中
理想情况下,漏洞扫描应该自动化并集成到QA过程中。在将新版本代码发布到Web环境之后,网站开发质量保证测试套件应该执行一些漏洞扫描。这样可以形成一种安全测试文化,而不是在怀疑有安全问题时才执行测成。安全测试不应该专属于组实中果位工程师的职责,整个公司都应该理解执行安全测试的原因与好处,这样它才会成为一件常规工作。将安全测试添加到自动化标准质量保证过程中,就可以让所有技术团队像检查日志文件或服务器性能指标一样习惯去执行安全测试。
2.Web应用扫描工具
