security - 是否有在敏捷开发商店中测试安全性的最佳实践？

Question

关闭。这个问题是opinion-based .它目前不接受答案。












想改善这个问题吗？更新问题，以便可以通过 editing this post 用事实和引文回答问题.

3年前关闭。




Improve this question




关于敏捷开发，每个版本测试安全性的最佳实践是什么？

如果是每月发布，是否有商店每个月都进行渗透测试？

Answer 1

你的应用领域是什么？这取决于。

由于您使用了“敏捷”这个词，我猜它是一个网络应用程序。我有一个很好的简单答案给你。

去购买 Burp Suite 的副本(这是“burp”的排名第一的 Google 搜索结果 --- 肯定的认可!)；如果您等到 11 月，它会花费您 99EU，或约 180 美元，或 98 美元奥巴马美元。

Burp 用作网络代理。您使用 Firefox 或 IE 或其他工具浏览您的网络应用程序，它会收集您生成的所有点击。这些点击被输入到一个名为“入侵者”的功能中，这是一个网络模糊器。 Intruder 将找出您提供给每个查询处理程序的所有参数。然后它会为每个参数尝试疯狂的值，包括 SQL、文件系统和 HTML 元字符。在典型的复杂表单帖子中，这将产生大约 1500 次点击，您将通过这些点击来识别可怕的 --- 或者，更重要的是在敏捷上下文中，新的 --- 错误响应。

在每次发布迭代时对 Web 应用程序中的每个查询处理程序进行模糊测试是提高应用程序安全性的第一件事，而无需建立正式的“SDLC”和增加人数。除此之外，请查看主要 Web 应用安全热点的代码:

只使用参数化的准备好的 SQL 语句；不要简单地连接字符串并将它们提供给您的数据库句柄。

将所有输入过滤到已知良好字符(alnum、基本标点符号)的白名单，更重要的是，从查询结果中输出过滤数据，以将 HTML 元字符“中和”为 HTML 实体(quot、lt、gt 等)。

在您当前在查询参数中使用简单整数行 ID 的任何地方使用长随机难以猜测的标识符，并确保用户 X 无法通过猜测这些标识符来查看用户 Y 的数据。

测试应用程序中的每个查询处理程序，以确保它们仅在提供有效的登录 session cookie 时才起作用。

在您的 Web 堆栈中打开 XSRF 保护，这将在您呈现的所有表单上生成隐藏的表单 token 参数，以防止攻击者创建恶意链接，为毫无戒心的用户提交表单。

使用 bcrypt --- 而没有别的 --- 来存储散列密码。