由于攻擊也在進(jìn)化，所以要定期檢查滲透測(cè)試。要保持OpenVAS和Metasploit等工具的更新，而且它們可以使用的攻擊庫(kù)也在穩(wěn)步增長(zhǎng)。
軟件測(cè)試階段：交互式安全測(cè)試 (IAST)，IAST 通過(guò)代理、*** 或者服務(wù)端 Agent 方式無(wú)感知獲取功能測(cè)試人員測(cè)試交互流量，基于模糊測(cè)試 (fuzz) 思想對(duì)流量進(jìn)行攻擊代碼隨機(jī)插入和攻擊流量構(gòu)建，并自動(dòng)化對(duì)被測(cè)程序進(jìn)行安全測(cè)試，同時(shí)可準(zhǔn)確確定漏洞所在的代碼文件、行數(shù)、函數(shù)及參數(shù)。
上線迭代階段：常態(tài)化安全運(yùn)營(yíng)，對(duì)項(xiàng)目上線后所在的服務(wù)器資產(chǎn)、中間件以及項(xiàng)目本身進(jìn)行 7*24 小時(shí)周期性安全檢查，相當(dāng)于有一個(gè)安全團(tuán)隊(duì)或滲透測(cè)試工程師全天候管理線上資產(chǎn)、站點(diǎn)以及中間依賴的安全問(wèn)題，有效確保安全健壯性。

在研發(fā)人員眼中，編碼開發(fā)的目的是實(shí)現(xiàn)相關(guān)功能邏輯可用，無(wú)明顯功能 bug。而實(shí)際上，在安全人員眼中，很多這樣看似沒有功能問(wèn)題的代碼，卻可以利用來(lái)進(jìn)行安全漏洞攻擊。雖然這在很多研發(fā)人員眼中是看似天方夜譚，但很不幸，通過(guò)以往的無(wú)數(shù)重大安全事件的驗(yàn)證，這個(gè)事實(shí)客觀存在。
采取正確的措施保護(hù)設(shè)備，將保護(hù)基礎(chǔ)架構(gòu)的其他部分，其中包括下面這些經(jīng)常被忽視的常見防范措施：
修改默認(rèn)密碼和帳號(hào)名。
禁用不必要的服務(wù)和帳號(hào)。
保證按照制造商的要求更新底層操作系統(tǒng)和系統(tǒng)軟件。
三類*有代表性、安全威脅等級(jí)*高的安全漏洞
SQL注入二、跨站腳本 (XSS)三、任意命令執(zhí)行

上述三類安全漏洞，無(wú)一例外是在代碼功能正常的前提下進(jìn)行的，可見功能可用不代表安全可靠。而為解決這些問(wèn)題，更多的是需要在研發(fā)過(guò)程中各環(huán)節(jié)介入安全能力，實(shí)現(xiàn)對(duì)上述各類漏洞的上線前檢出以及修復(fù)，降低項(xiàng)目上線安全隱患。

限制管理網(wǎng)絡(luò)的管理接口訪問(wèn)；如果無(wú)法做到這一點(diǎn)，則要在上游設(shè)備（交換機(jī)和路由器）使用ACL,限制發(fā)起管理會(huì)話的來(lái)源。
軟件編碼階段：靜態(tài)應(yīng)用安全測(cè)試 (SAST)，通過(guò)與 git、svn 等代碼倉(cāng)庫(kù)聯(lián)動(dòng)，自動(dòng)化拉取全量或增量代碼進(jìn)行代碼安全檢查，以波谷時(shí)間檢測(cè)方式在上班時(shí)間前根據(jù)提交歷史以郵件形式同時(shí)相關(guān)責(zé)任人，降低對(duì)相關(guān)人員工作方式更改。


http://4koz.com