强大的软件安全分析工具,快速扫描、定位、修复用C#或VB.NET编写的ASP.NET应用程序中未知和潜在的安全隐患。
建构安全的网络应用程序
尽管信息人员极重视网络的安全防护,入侵者仍然能够闯入企业的应用程序并取得机密数据,企业损失的商机与IT资源将无法以金钱来衡量,许多黑客攻击成功的案例证明出纯粹依靠现有的网络安全防护是不足以对抗黑客的攻击。
据业界知名的Gartner Group指出,有75%攻击成功案例是透过应用程序,而非透过网络或计算机操作系统,换言之,现今的网络安全问题已经不局限于计算机的基础架构,而是涵盖到应用程序的层面。其中特别是针对以网页为基础的应用程序,一般设置于企业外部的网络应用程序易受入侵者接近与攻击,程序开发人员经常使用习惯性的语法有可能在无意间提供一条快捷方式让入侵者有机会以管理者身份入侵您的应用程序。
在程序开发阶段建构安全的网络应用程序是一项高难度的技术挑战,最主要原因是应用程序无法做到百分之百的安全,包含已知或未知的途径就将近有上千种入侵应用程序的方式,即使是一个小型的网络应用程序也有好几百个不同的安全漏洞。减少应用程序之安全漏洞确保应用程序具有高度的安全性,使黑客不易入侵应用程序将是开发团队努力的目标。假使您的应用程序安全度极高不容易被侵入,这些入侵者将会转移目标到较易入侵的其他应用程序,即使是黑客不断持续的攻击您的应用程序,IT专业人员仍然有足够的时间发现黑客入侵应用程序并作适当的处理。
欲达到此目标,开发团队必须要有一套方法论于应用程序开发过程中一并将安全防护措施建构在程序代码中,且必须于应用程序开发与测试期间采取有系统的方式解决安全防护的问题,诸如此类的方法论或许之间有差异性,但整体来说,使用的安全准则应包含下列几点:
■ 于撰写程序时提早发现与修正程序代码的安全漏洞
■ 在应用程序执行期间寻找程序之安全漏洞
■ 以各种已知的入侵模式进行仿真攻击的测试
上述几点囊括的最佳安全准则可确保所开发的应用程序具有高度安全性,若再搭配适当的基础架构防护措施,应用程序的安全防护将会更为稳固且远比一般企业以防火墙防护的方式更不易被侵入及泄漏数据。下图是透过DevPartner SecurityChecker工具检查网络应用程序后所呈现的图表,可看出影响应用程序最严重的安全漏洞并迅速找到该安全漏洞所对应到的程序代码位置。
