- Văn bản
- Lịch sử
■■ Exposure to virus attacks via ac
■■ Exposure to virus attacks via active contents, plug-ins, cabinet files (.CAB), executables (.EXEs), DLLs, ActiveX controls, and other components ■■ Exposure to offensive contents ■■ Exposure of private information to third parties, either in violation of the Web site’s stated policy or as an unauthorized data capture by a third party that is independent of the intent of the Web site owner
Testing for Security
Though much of the security responsibility is at the corporate IT level, the application tester is also involved. As explained earlier in the chapter, the most prevalent security weakness is the buffer overflow bug, which, you’ll recall, is solely a coding problem within a program. The problem exists regardless of design considerations, operating systems, or implementation language. It is, simply put, a coding oversight, and it plays a part in over half of all reported problems. That said, it is possible to uncover and rectify buffer overflow bugs if you use the proper security testing strategy, so we’ll begin this discussion on security testing to see how to accomplish this. In testing the security of Web-based applications, it is best to assume that attackers have skill, luck, and time on their side, and to recognize that the attacker might be one lone “script kiddy” or a major international espionage organization. Another aspect of the testing management’s risk assessment is to determine how much value will be lost if the application is attacked. The more valuable the assets maintained by the application, the more likely that someone will spend a significant amount of time and effort to break in.
Testing the Requirements and Design
Requirements Are Key Every system is built using a set of requirements. Sometimes these requirements are written clearly, but often they are vague statements only partially defined. The product manager may state, for example, “The application must be secure.” But what does “secure” mean and just how much should be spent making it secure? Security has been defined as a trade-off between risk and reward. Deciding how much risk is a question for management to answer. For example, a very large Web site hosted on hardware that is not connected to the
Testing for Security
Though much of the security responsibility is at the corporate IT level, the application tester is also involved. As explained earlier in the chapter, the most prevalent security weakness is the buffer overflow bug, which, you’ll recall, is solely a coding problem within a program. The problem exists regardless of design considerations, operating systems, or implementation language. It is, simply put, a coding oversight, and it plays a part in over half of all reported problems. That said, it is possible to uncover and rectify buffer overflow bugs if you use the proper security testing strategy, so we’ll begin this discussion on security testing to see how to accomplish this. In testing the security of Web-based applications, it is best to assume that attackers have skill, luck, and time on their side, and to recognize that the attacker might be one lone “script kiddy” or a major international espionage organization. Another aspect of the testing management’s risk assessment is to determine how much value will be lost if the application is attacked. The more valuable the assets maintained by the application, the more likely that someone will spend a significant amount of time and effort to break in.
Testing the Requirements and Design
Requirements Are Key Every system is built using a set of requirements. Sometimes these requirements are written clearly, but often they are vague statements only partially defined. The product manager may state, for example, “The application must be secure.” But what does “secure” mean and just how much should be spent making it secure? Security has been defined as a trade-off between risk and reward. Deciding how much risk is a question for management to answer. For example, a very large Web site hosted on hardware that is not connected to the
0/5000
■■ tiếp xúc với vi rút tấn công thông qua hoạt động nội dung, phần-bổ-sung, nội các tập tin (. CAB), thực thi (. EXEs), DLL, điều khiển ActiveX, và thành phần ■■ tiếp xúc với nội dung gây khó chịu ■■ tiếp xúc của các thông tin cá nhân cho bên thứ ba, hoặc vi phạm của các trang Web của tuyên bố chính sách hoặc như là một nắm bắt dữ liệu trái phép của bên thứ ba là độc lập với ý định của chủ sở hữu trang WebThử nghiệm cho an ninhMặc dù hầu hết trách nhiệm bảo mật là tại các công ty nó cấp, thử ứng dụng cũng tham gia. Như đã giải thích trước đó trong chương, điểm yếu bảo mật phổ biến nhất là các lỗi tràn bộ đệm, trong đó, bạn sẽ nhớ lại, là chỉ là một vấn đề mã hóa trong một chương trình. Vấn đề tồn tại bất kể cân nhắc thiết kế, Hệ điều hành, hoặc thực hiện ngôn ngữ. Nó là, chỉ cần đặt, một giám sát mã hóa, và nó đóng một phần trong một nửa của tất cả các vấn đề báo cáo. Điều đó nói rằng, nó có thể khám phá và sửa chữa lỗi tràn bộ đệm nếu bạn sử dụng bảo mật thích hợp cho thử nghiệm chiến lược, do đó, chúng tôi sẽ bắt đầu này thảo luận về an ninh kiểm tra để xem làm thế nào để thực hiện việc này. Trong thử nghiệm bảo mật của ứng dụng dựa trên Web, nó là tốt nhất để cho rằng kẻ tấn công có kỹ năng, may mắn, và thời gian trên mặt của họ, và để nhận ra rằng những kẻ tấn công có thể là một đơn độc "kịch bản kiddy" hoặc một tổ chức vụ án gián điệp quốc tế lớn. Một khía cạnh khác của việc quản lý kiểm tra đánh giá rủi ro là để xác định giá trị bao nhiêu sẽ bị mất khi ứng dụng bị tấn công. Càng có nhiều giá trị tài sản được duy trì bởi các ứng dụng, càng có nhiều khả năng rằng một ai đó sẽ chi tiêu một số lượng đáng kể thời gian và nỗ lực để phá vỡ.Kiểm tra các yêu cầu và thiết kếYêu cầu hệ thống được chìa khóa mỗi được xây dựng bằng cách sử dụng một tập hợp các yêu cầu. Đôi khi những yêu cầu này được viết rõ ràng, nhưng thường họ là mơ hồ phát biểu chỉ có một phần định nghĩa. Giám đốc sản phẩm có thể nhà nước, ví dụ, "các ứng dụng phải được an toàn." Nhưng những gì hiện "bảo mật" có ý nghĩa và chỉ cần bao nhiêu nên được bỏ ra làm cho nó an toàn? An ninh đã được định nghĩa là một sự đánh đổi giữa rủi ro và phần thưởng. Quyết định bao nhiêu nguy cơ là một câu hỏi cho các quản lý để trả lời. Ví dụ, một rất lớn trang Web lưu trữ trên phần cứng không được kết nối với các
đang được dịch, vui lòng đợi..
■■ Tiếp xúc với vi rút tấn công thông qua các nội dung hoạt động, plug-ins, các tập tin nội các (.CAB), file thực thi (.exe), các file DLL, ActiveX Controls, và các thành phần khác ■■ Tiếp xúc với nội dung xúc phạm ■■ Tiếp xúc của các thông tin cá nhân cho bên thứ ba , hoặc vi phạm các chính sách đã nêu cho các website hoặc như là một thu thập dữ liệu trái phép của một bên thứ ba độc lập với ý định của chủ sở hữu trang web
kiểm tra cho an
Mặc dù phần lớn trách nhiệm bảo mật là ở cấp độ doanh nghiệp CNTT, các thử nghiệm ứng dụng cũng tham gia. Như đã giải thích ở chương trước, các điểm yếu bảo mật phổ biến nhất là lỗi tràn bộ đệm, trong đó, bạn sẽ nhớ lại, chỉ là một vấn đề mã hóa trong một chương trình. Vấn đề tồn tại bất kể cân nhắc thiết kế, hệ điều hành, hoặc ngôn ngữ thực hiện. Đó là, chỉ cần đặt, một giám sát mã hóa, và nó đóng một phần trong hơn một nửa của tất cả các vấn đề báo cáo. Điều đó nói rằng, nó có thể phát hiện ra và khắc phục lỗi tràn bộ đệm nếu bạn sử dụng các chiến lược thử nghiệm bảo mật thích hợp, vì vậy chúng tôi sẽ bắt đầu thảo luận này về kiểm tra an ninh để xem làm thế nào để thực hiện điều này. Trong thử nghiệm sự an toàn của các ứng dụng trên nền web, tốt nhất là để cho rằng những kẻ tấn công có kỹ năng, may mắn, và thời gian ở bên họ, và để nhận ra rằng những kẻ tấn công có thể là một đơn độc "kịch bản Kiddy" hoặc một tổ chức gián điệp quốc tế lớn. Một khía cạnh khác của việc đánh giá rủi ro quản lý thử nghiệm là để xác định có bao nhiêu giá trị sẽ bị mất nếu ứng dụng bị tấn công. Càng có giá trị tài sản được duy trì bởi các ứng dụng, nhiều khả năng rằng một người nào đó sẽ dành một số lượng đáng kể thời gian và nỗ lực để phá vỡ trong.
Kiểm tra các yêu cầu và thiết kế
Yêu cầu là Key Mỗi hệ thống được xây dựng bằng cách sử dụng một tập hợp các yêu cầu. Đôi khi, những yêu cầu này được viết rõ ràng, nhưng thường họ là các câu lệnh định nghĩa mơ hồ chỉ một phần. Quản lý sản phẩm có thể được nhà nước, ví dụ, "Ứng dụng này phải được an toàn." Nhưng những gì không "an toàn" có ý nghĩa và chỉ có bao nhiêu nên dành làm cho nó an toàn? An ninh đã được xác định là một thương mại-off giữa rủi ro và phần thưởng. Quyết định bao nhiêu rủi ro là một câu hỏi dành cho quản lý để trả lời. Ví dụ, một trang web rất lớn lưu trữ trên phần cứng mà không được kết nối với
kiểm tra cho an
Mặc dù phần lớn trách nhiệm bảo mật là ở cấp độ doanh nghiệp CNTT, các thử nghiệm ứng dụng cũng tham gia. Như đã giải thích ở chương trước, các điểm yếu bảo mật phổ biến nhất là lỗi tràn bộ đệm, trong đó, bạn sẽ nhớ lại, chỉ là một vấn đề mã hóa trong một chương trình. Vấn đề tồn tại bất kể cân nhắc thiết kế, hệ điều hành, hoặc ngôn ngữ thực hiện. Đó là, chỉ cần đặt, một giám sát mã hóa, và nó đóng một phần trong hơn một nửa của tất cả các vấn đề báo cáo. Điều đó nói rằng, nó có thể phát hiện ra và khắc phục lỗi tràn bộ đệm nếu bạn sử dụng các chiến lược thử nghiệm bảo mật thích hợp, vì vậy chúng tôi sẽ bắt đầu thảo luận này về kiểm tra an ninh để xem làm thế nào để thực hiện điều này. Trong thử nghiệm sự an toàn của các ứng dụng trên nền web, tốt nhất là để cho rằng những kẻ tấn công có kỹ năng, may mắn, và thời gian ở bên họ, và để nhận ra rằng những kẻ tấn công có thể là một đơn độc "kịch bản Kiddy" hoặc một tổ chức gián điệp quốc tế lớn. Một khía cạnh khác của việc đánh giá rủi ro quản lý thử nghiệm là để xác định có bao nhiêu giá trị sẽ bị mất nếu ứng dụng bị tấn công. Càng có giá trị tài sản được duy trì bởi các ứng dụng, nhiều khả năng rằng một người nào đó sẽ dành một số lượng đáng kể thời gian và nỗ lực để phá vỡ trong.
Kiểm tra các yêu cầu và thiết kế
Yêu cầu là Key Mỗi hệ thống được xây dựng bằng cách sử dụng một tập hợp các yêu cầu. Đôi khi, những yêu cầu này được viết rõ ràng, nhưng thường họ là các câu lệnh định nghĩa mơ hồ chỉ một phần. Quản lý sản phẩm có thể được nhà nước, ví dụ, "Ứng dụng này phải được an toàn." Nhưng những gì không "an toàn" có ý nghĩa và chỉ có bao nhiêu nên dành làm cho nó an toàn? An ninh đã được xác định là một thương mại-off giữa rủi ro và phần thưởng. Quyết định bao nhiêu rủi ro là một câu hỏi dành cho quản lý để trả lời. Ví dụ, một trang web rất lớn lưu trữ trên phần cứng mà không được kết nối với
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- space, incomplete downloads, or browser
- I have a shower, so I nobody laugh
- internet yếu
- I don't have any friend in saigon becaus
- nhan dip sinh nhat cua toi, kinh moi cac
- tôi đang dỗ trẻ em
- Sự kiện mà tôi nhớ nhất đó là đỗ vào trư
- A log of the update:+ Fixed display of t
- too a degree in economics
- chúng ta vẫn liên lạc
- infiniteimaginaryminuteirregularaunt's d
- I feel ill, so I hear a strange noise
- Trôi nổi trên miếng gỗ trên biển
- the next round of globalization is under
- Bên cạnh những tiêu cực ấy, nông thôn cò
- A vous! Repondez librement aux questions
- tôi phải chịu sức ép ngày càng tăng to l
- the next round of globalization is under
- tôi đang dỗ trẻ em
- The worldwide economic situation got wor
- Das Wasser schoß mir wieder in die Augen
- tôi đang dỗ trẻ em
- tôi phải chịu sức ép ngày càng tăng to l
- người nhút nhát
