摘要:
我们知道,在Risk Threat Modeling(风险模型)中,攻击者通过开源代码或者逆向工程获得目标系统的源代码,从而发现系统潜在的漏洞利用方式是一个高危且常见的风险点,尤其在一些CMS的WEB漏洞中极为常见。因此,在整个IT系统的开发和维护周期中进行code review(代码审计)就成了一个重要且有意义的工作。
代码审计或许是一个最有效的发现安全漏洞的技术了。当配合上自动化的工具以及手工的渗透测试的时候,代码审计能显著提高一个应用系统的安全测评工作的成本不能效益。
手工的代码安全审计工作能使我们探寻到那些真正的漏洞风险,安全人员在进行代码审计的时候,可以切实的了解到目标系统的上下文环境,并根据漏洞情况评估被攻击的可能性(发现难度、可重现性、依赖条件)、以及攻击一旦发生对商业带来的破坏影响。 阅读全文
posted @ 2014-06-16 17:35
郑瀚
阅读(1598)
评论(0)
推荐(0)
浙公网安备 33010602011771号