敏捷开发车间是否有测试安全性的最佳实践？

Question

Closed. This question is opinion-based. It is not currently accepting answers.

---

想要改进这个问题？更新问题，以便可以通过编辑这篇文章用事实和引文来回答它。

6 年前已关闭。

Answer 1

您的应用领域是什么？ 这取决于。

既然您使用了“敏捷”这个词，我猜它是一个网络应用程序。 我有一个简单的答案给你。

去购买一份 Burp Suite（这是“burp”的 Google 结果排名第一——绝对的认可！）； 如果你等到 11 月的话，它会花费你 99 欧元，或者大约 180 美元，或者 98 美元奥巴马美元。

Burp 用作网络代理。 您使用 Firefox 或 IE 或其他浏览器浏览您的网络应用程序，它会收集您生成的所有点击。 这些点击会被输入到一个名为“Intruder”的功能，这是一个网络模糊器。 Intruder 将找出您提供给每个查询处理程序的所有参数。 然后它会尝试每个参数的疯狂值，包括 SQL、文件系统和 HTML 元字符。 在典型的复杂表单帖子中，这将生成大约 1500 个点击，您将通过查看这些点击来识别可怕的 — 或者，更重要的是，在敏捷环境中，新的 — 错误响应。

在每次发布迭代时对 Web 应用程序中的每个查询处理程序进行模糊测试是提高应用程序安全性的第一件事，而无需建立正式的“SDLC”并增加人员数量。 除此之外，检查您的代码以了解主要的 Web 应用程序安全热点：

• 仅使用参数化准备好的 SQL 语句； 永远不要简单地连接字符串并将它们提供给数据库句柄。

• 将所有输入过滤到已知好字符（alnum、基本标点符号）的白名单中，更重要的是，从查询结果中输出过滤数据，以将 HTML 元字符“中和”为 HTML 实体（quot、lt、gt 等） ）。

• 长的随机难以猜测的标识符，并确保用户 X 无法仅通过猜测这些标识符来查看用户 Y 的数据。

• 测试应用程序中的每个查询处理程序，以确保它们仅在提供有效的已登录会话 cookie 时才起作用。

  测试应用程序中的每个查询处理程序，以确保

• 在您的网络堆栈中启用 XSRF 保护，这将在您呈现的所有表单上生成隐藏的表单令牌参数，以防止攻击者创建向毫无戒心的用户提交表单的恶意链接。

• 使用 bcrypt --- 不使用其他 --- 来存储散列密码。

Answer 2

单元测试，防御编程和大量日志

单元测试

确保尽早进行单元测试（例如，密码应在发送前加密，SSL 隧道正在工作等）。 这可以防止程序员意外地使程序变得不安全。

防御编程

我个人称之为偏执编程，但维基百科从来没有错（讽刺）。 基本上，您向函数添加测试来检查所有输入：

• 用户的 cookie 是否有效？
• 他目前还处于登录状态吗？
• 函数的参数是否受到 SQL 注入保护？ （即使您知道输入是由您自己的函数生成的，您仍然会进行测试）

记录

疯狂地记录所有内容。 删除日志然后添加日志更容易。 用户已登录？ 记录下来。 用户发现了 404？ 记录下来。 管理员编辑/删除了帖子？ 记录下来。 有人能够访问受限制的页面吗？ 记录下来。

如果您的日志文件在开发阶段达到 15+ Mb，请不要感到惊讶。 在测试期间，您可以决定删除哪些日志。 如果需要，您可以添加一个标志来决定何时记录特定事件。

Answer 3

我不是敏捷开发方面的专家，但我认为将一些基本的自动化渗透测试软件集成到您的构建周期中将是一个好的开始。 我见过几个可以进行基本测试并且非常适合自动化的软件包。

Answer 4

我不是安全专家，但我认为在测试安全性之前，您应该了解的最重要的事实是您要保护的内容。 只有知道要保护的内容，才能对安全措施进行正确分析，然后才能开始测试这些已实施的措施。

我知道，非常抽象。 但是，我认为这应该是每次安全审核的第一步。