1. Trang chủ
  2. Câu hỏi và trả lời
  3. Kiểm tra bảo mật Java

Kiểm tra bảo mật Java

2011-09-21 46 views
5

Có một điều như kiểm tra bảo mật tự động trong Java không? Nếu vậy, nó được thực hiện như thế nào? Có phải chỉ là các bài kiểm tra JUnit được viết để thử và khai thác các lỗ hổng máy chủ đã biết, hoặc là các khung kiểm tra trung tâm bảo mật của chúng?Kiểm tra bảo mật Java

Như một sự phân biệt Tôi cũng quan tâm đến Khung kiểm tra bảo mật OWASP này, nhưng không thể biết liệu chúng có đang sử dụng "khung" theo nghĩa cổ điển hay không (nghĩa là tập hợp các nguyên tắc và thủ tục để làm theo), hoặc trong ngữ cảnh phần mềm (nơi chúng thực sự cung cấp các thành phần kiểm tra bảo mật tự động).

Nhờ bất kỳ điều gì có thể làm sáng tỏ điều này cho tôi!

Nguồn

2011-09-21 IAmYourFaja

Trả lời

4

Không biết chính xác những gì bạn đang tìm kiếm, nhưng có một bài đăng trên blog của Stephen Colebourne (tác giả của API thời gian ngày tiêu chuẩn Java-joda và tương lai mới) về kiểm tra quyền bảo mật với junit: Stephen Colebourne's blog: Testing a security permission

Nguồn

2011-09-21 15:08:57

+0

Xin chào Ivan, cảm ơn và tôi sẽ kiểm tra bài viết đó. Trong khi đó, những gì tôi đang tìm kiếm là câu trả lời cho điều này: liệu một người có sử dụng JUnit để viết các kiểm tra bảo mật hay không, có một khung công tác nào khác (cụ thể) nhắm vào các vấn đề an ninh không? Nếu vậy, OWASP có phải là một trong số đó không? – IAmYourFaja

3

Fuzz thử nghiệm không làm phật lòng: http://www.ibm.com/developerworks/java/library/j-fuzztest/index.html

thử nghiệm Fuzz giúp bạn đảm bảo rằng ứng dụng của bạn được an toàn chống lại bất kỳ cơ hội cho người dùng nhập vào.

Kiểm tra Fuzz hơi khó xử cho các thử nghiệm JUnit theo cách, bởi vì chúng là "ngẫu nhiên". Bạn có thể muốn lặp lại và chạy một số kiểm tra mờ trên mỗi đại lộ đầu vào trong một bộ thử nghiệm.

Nguồn

2011-09-21 15:56:10

1

Các công cụ như SonarFindBugs cũng có thể là một cách tự động để tìm ra ít nhất một số vấn đề bảo mật (FindBugs là khá hiệu quả trong việc tìm kiếm rủi ro của SQL injection và như vậy).

Nguồn

2012-04-29 14:23:04

1

Có các công cụ thương mại như VeraCode thực hiện quét bảo mật. Tôi không làm việc cho họ nhưng công ty của tôi sử dụng nó. Nó có vẻ khá kỹ lưỡng.

Nguồn

2013-02-16 21:59:22 Glen

1

Kiểm tra bảo mật tự động là cứng nhưng điều đó không có nghĩa là nó không đáng làm.

Đề xuất của tôi cho các ứng dụng web - sử dụng các bài kiểm tra Đơn vị và Tích hợp hiện tại của bạn (như Selenium) và sau đó ủy quyền chúng thông qua một công cụ bảo mật như OWASP ZAP (Zed Attack Proxy). Xem http://code.google.com/p/zaproxy/wiki/SecRegTests để biết thêm chi tiết.

Simon (Trưởng dự án ZAP)

Nguồn

2013-02-19 08:24:16

+0

Có, Zed Attack Proxy (ZAP) là công cụ tốt để kiểm tra thâm nhập –

Các vấn đề liên quan

 Các vấn đề liên quan