TechTarget原创
在Web安全方面,面对各种安全漏洞,IT和安全专业人员通常采取防御措施,而缺少积极主动的措施。
在各种类型和规模的企业中,
有些网络安全人员(包括CIO和其他高管)称他们会定期扫描其网站和应用。
有些人称他们的应用是正在进行的渗透测试工作的一部分,并感觉这可确保安全性。
还有些人认为管理web安全漏洞不是他们的职责,因为网站和应用托管在云端。
(图片来源于网络)
我理解前两种做法,但第三种则不可原谅。企业需要专注于安全工作,特别是安全评估,对web环境的评估可确保安全性,而无论它们托管在哪里。这个问题是可以解决的。首先,现在有很多非常好的在线资源可提升网络安全状态,例如OWASPTop20和OWASPWebGoat项目。我发现有些人从未听说过OWASP,他们不了解它可为其信息安全计划带来的价值。如果您希望提高网络安全状态,对于初学者来说,我建议您查看OWASPTop10以及其网站上其他资源。OWASPTop10仍然还是年版,目前新版本正在公开征询阶段,计划在年8月之前发布。如果您想要了解应该学习哪些web安全漏洞,Foundstone软件应用安全服务工具(例如HacmeBank)是非常不错的工具。虽然它们已经过时,但仍然有效。您可中科携手共抗白癜风北京中科白癜风医学研究院