- Văn bản
- Lịch sử
First, we will use the diagram illu
First, we will use the diagram illustrated in Figure 18.13 to highlight all areas of the software that will be tested at each point and areas over which we won’t have control. In this scenario, initially, testing should focus on points 3 and 5 and then advance to the testing of points 14 and 18.a (assuming that points 7 through 12 are processes that happen at the bank and are treated as black-box activities that are beyond the reach of testing). Testing should begin with a no-firewall environment, so that functionalityspecific issues can be ironed out before firewall issues are explored. Issues to look for include application-specific errors that result from firewall software, configuration, and security defenses that cause packet dropping or splitting. For example, suppose your application will rely on port 25 to talk to the SMTP server using SMTP protocol to support an e-mail notification feature. If your firewall is blocking out port 25, then the e-mail notification feature will fail. As another example, suppose your application will be deployed within an environment that uses a DMZ. Your system is designed to have Web and application servers separated from the database server. If you want the Web servers in DMZ but the database server inside the private network, the system will fail because the Web server cannot initiate requests to the database server that lives behind the private network.
The Challenges Testers Face Now that you understand the complexity of security design and implementation, you can begin to take the first step in planning for the security-testing program. However, first consider these challenges that you will be facing in testing for security: ■■ Collaboratively defining a clear division of responsibilities with the IT and software development staff. One simple technique to accomplish this is to use a table format to collect requirements, prioritize tasks, and assign responsibilities. See Figure 18.14 for an example. ■■ Getting adequate resource and support to carry out the testing tasks. ■■ Keeping up with new technologies and the vulnerabilities they introduce. ■■ Developing a knowledge base of common test techniques and maintaining it on an ongoing basis. ■■ Keeping up with the available tools and their applicability and usefulness in supporting the software security testing effort.
The Challenges Testers Face Now that you understand the complexity of security design and implementation, you can begin to take the first step in planning for the security-testing program. However, first consider these challenges that you will be facing in testing for security: ■■ Collaboratively defining a clear division of responsibilities with the IT and software development staff. One simple technique to accomplish this is to use a table format to collect requirements, prioritize tasks, and assign responsibilities. See Figure 18.14 for an example. ■■ Getting adequate resource and support to carry out the testing tasks. ■■ Keeping up with new technologies and the vulnerabilities they introduce. ■■ Developing a knowledge base of common test techniques and maintaining it on an ongoing basis. ■■ Keeping up with the available tools and their applicability and usefulness in supporting the software security testing effort.
0/5000
Trước tiên, chúng tôi sẽ sử dụng biểu đồ minh họa trong hình 18.13 để làm nổi bật tất cả các phần mềm sẽ được kiểm tra tại mỗi điểm và các khu vực mà chúng tôi sẽ không có quyền kiểm soát. Trong trường hợp này, ban đầu, thử nghiệm nên tập trung vào điểm 3 và 5 và sau đó tiến tới thử nghiệm điểm 14 và 18.a (giả sử rằng điểm 7 thông qua 12 là quá trình xảy ra tại ngân hàng và được coi là hoạt động hộp đen có beyond the reach of thử nghiệm). Thử nghiệm nên bắt đầu với một môi trường không có tường lửa, do đó functionalityspecific vấn đề có thể được ironed ra trước khi tường lửa của vấn đề được khám phá. Các vấn đề để tìm bao gồm dành riêng cho ứng dụng lỗi mà kết quả từ bảo vệ phần mềm, cấu hình và bảo mật tường lửa đó gói nguyên nhân rơi hoặc chia tách. Ví dụ, giả sử ứng dụng của bạn sẽ dựa trên cổng 25 để nói chuyện với hệ phục vụ SMTP sử dụng giao thức SMTP để hỗ trợ một tính năng thông báo e-mail. Nếu tường lửa của bạn đang chặn ra cổng 25, sau đó tính năng thông báo e-mail sẽ thất bại. Một ví dụ khác, cho rằng ứng dụng của bạn sẽ được triển khai trong một môi trường sử dụng DMZ một. Hệ thống của bạn được thiết kế để có Web và máy chủ ứng dụng được tách ra từ các máy chủ cơ sở dữ liệu. Nếu bạn muốn các máy chủ Web trong DMZ nhưng các máy chủ cơ sở dữ liệu bên trong mạng cá nhân, Hệ thống sẽ không thành công bởi vì các máy chủ Web không thể bắt đầu yêu cầu đến máy chủ cơ sở dữ liệu sống đằng sau mạng riêng.Các thách thức thử nghiệm mặt bây giờ rằng bạn hiểu sự phức tạp của thiết kế an ninh và thực hiện, bạn có thể bắt đầu thực hiện bước đầu tiên trong lập kế hoạch cho chương trình kiểm tra an ninh. Tuy nhiên, lần đầu tiên xem xét những thách thức mà bạn sẽ phải đối mặt với trong thử nghiệm cho an ninh: ■■ cộng tác xác định một bộ phận rõ ràng của trách nhiệm với các nhân viên phát triển đô thị và phần mềm. Một kỹ thuật đơn giản để thực hiện việc này là sử dụng một định dạng bảng để thu thập các yêu cầu, ưu tiên các nhiệm vụ, và chỉ định trách nhiệm. Hãy xem hình 18.14 cho một ví dụ. ■■ Bắt nguồn lực đầy đủ và hỗ trợ để thực hiện nhiệm vụ thử nghiệm. ■■ Giữ với công nghệ mới và các lỗ hổng họ giới thiệu. ■■ phát triển một nền kiến thức phổ biến kiểm tra kỹ thuật và duy trì nó trên cơ sở liên tục. ■■ Giữ lên với các công cụ có sẵn và tính ứng dụng và tính hữu dụng trong việc hỗ trợ an ninh phần mềm thử nghiệm nỗ lực của họ.
đang được dịch, vui lòng đợi..
Đầu tiên, chúng ta sẽ sử dụng sơ đồ minh họa trong hình 18.13 để làm nổi bật tất cả các lĩnh vực của phần mềm sẽ được thử nghiệm tại mỗi điểm và các khu vực trên đó chúng ta sẽ không có kiểm soát. Trong kịch bản này, ban đầu, kiểm tra nên tập trung vào điểm 3 và 5 và sau đó tiến tới việc thử nghiệm các điểm 14 và 18.a (giả định rằng điểm 7 đến 12 là những quá trình đó xảy ra tại các ngân hàng và đang được coi là hoạt động hộp đen mà là ngoài tầm với của thử nghiệm). Thử nghiệm nên bắt đầu với một môi trường không có tường lửa, do đó vấn đề functionalityspecific có thể được giải quyết trước khi các vấn đề tường lửa được khám phá. Vấn đề để tìm kiếm bao gồm các lỗi ứng dụng cụ thể là kết quả từ phòng thủ phần mềm, cấu hình và bảo mật tường lửa gây giảm gói hoặc tách. Ví dụ, giả sử ứng dụng của bạn sẽ dựa trên cổng 25 để nói chuyện với các máy chủ SMTP sử dụng giao thức SMTP để hỗ trợ một tính năng thông báo e-mail. Nếu tường lửa của bạn đang chặn cổng ra 25, sau đó các tính năng thông báo e-mail sẽ thất bại. Một ví dụ khác, giả sử ứng dụng của bạn sẽ được triển khai trong một môi trường có sử dụng một DMZ. Hệ thống của bạn được thiết kế để có Web và ứng dụng máy chủ tách ra từ các máy chủ cơ sở dữ liệu. Nếu bạn muốn các máy chủ Web trong DMZ nhưng máy chủ cơ sở dữ liệu bên trong các mạng tư nhân, hệ thống sẽ thất bại vì các máy chủ web không thể bắt đầu yêu cầu đến máy chủ cơ sở dữ liệu mà cuộc sống đằng sau một mạng riêng.
Những thách thức Testers mặt Bây giờ bạn hiểu sự phức tạp của bảo mật thiết kế và thực hiện, bạn có thể bắt đầu thực hiện bước đầu tiên trong kế hoạch cho các chương trình bảo mật thử nghiệm. Tuy nhiên, đầu tiên xem xét những thách thức mà bạn sẽ phải đối mặt trong việc kiểm tra an ninh: ■■ cộng tác xác định một phân chia rõ ràng về trách nhiệm với các nhân viên phát triển CNTT và phần mềm. Một kỹ thuật đơn giản để thực hiện điều này là sử dụng một định dạng bảng để thu thập yêu cầu, nhiệm vụ ưu tiên, và phân công trách nhiệm. Xem Hình 18.14 cho một ví dụ. ■■ Bắt nguồn lực đầy đủ và hỗ trợ để thực hiện các nhiệm vụ kiểm tra. ■■ Giữ với công nghệ mới và các lỗ hổng mà họ giới thiệu. ■■ Phát triển một nền tảng kiến thức kỹ thuật xét nghiệm thông thường và duy trì nó một cách liên tục. ■■ Giữ đầu với những công cụ có sẵn và khả năng ứng dụng và tính hữu dụng của họ trong việc hỗ trợ các nỗ lực thử nghiệm phần mềm bảo mật.
Những thách thức Testers mặt Bây giờ bạn hiểu sự phức tạp của bảo mật thiết kế và thực hiện, bạn có thể bắt đầu thực hiện bước đầu tiên trong kế hoạch cho các chương trình bảo mật thử nghiệm. Tuy nhiên, đầu tiên xem xét những thách thức mà bạn sẽ phải đối mặt trong việc kiểm tra an ninh: ■■ cộng tác xác định một phân chia rõ ràng về trách nhiệm với các nhân viên phát triển CNTT và phần mềm. Một kỹ thuật đơn giản để thực hiện điều này là sử dụng một định dạng bảng để thu thập yêu cầu, nhiệm vụ ưu tiên, và phân công trách nhiệm. Xem Hình 18.14 cho một ví dụ. ■■ Bắt nguồn lực đầy đủ và hỗ trợ để thực hiện các nhiệm vụ kiểm tra. ■■ Giữ với công nghệ mới và các lỗ hổng mà họ giới thiệu. ■■ Phát triển một nền tảng kiến thức kỹ thuật xét nghiệm thông thường và duy trì nó một cách liên tục. ■■ Giữ đầu với những công cụ có sẵn và khả năng ứng dụng và tính hữu dụng của họ trong việc hỗ trợ các nỗ lực thử nghiệm phần mềm bảo mật.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- La vin rose ne se prononce pas
- 蒸馏完毕,应先撤出热源,然后拆卸蒸馏装置,拆卸的顺序与安装时相反
- Ce métier porte dans les secteurs de la
- +Trước khi nói những điều này mong bác g
- tôi phải chịu sức ép ngày càng tăng to l
- được tổ chức vào giữa tháng 2 đến đầu th
- After their retirement from employment,
- Indemnity or Hold Harmless Clause
- được tổ chức vào giữa tháng 2 đến đầu th
- gửi người ông thân yêu của con
- Perform the torque checking procedure (a
- finish
- Vous voulez changer de mot de passePour
- Perform the torque checking procedure (a
- tôi đang rất buồn
- bạn thật xinh đẹp
- tôi đang rất buồn
- husband
- Oui, je sais promener.
- hẹn hò trực tuyến có thể giúp người nhút
- +Trước khi nói những điều này mong bác g
- alone
- After their retirement from employment,
- forget her birthday
