应用安全：逆向思考

Source: Dev.to

为什么要逆向思考？

开发者常常关注可以使用哪种库或工具来保护微服务。现代工具如今非常强大，但如果你从未站在对面审视过它们，就无法确保所有的门都已锁好。

要真正保护一个应用，必须先了解它可能受到的攻击方式。像道德黑客一样思考可以帮助你理解：

• 你的应用如何被入侵？
• 敏感数据可能从哪里泄漏？
• 哪些薄弱环节可能被利用？
• 攻击者如何将小问题串联成真实威胁？

OWASP Top 10

OWASP 社区在这里发挥了巨大作用。OWASP Top 10 的分组漏洞列表提供了最常见漏洞的清晰解释、测试方法，以及最重要的——如何进行缓解。

在安全环境中练习

仅有理论是不够的。有许多优秀平台可以让你在安全的环境中练习道德黑客，并了解漏洞在真实场景中的表现。我的最爱之一是 PortSwigger Academy。你可以选择特定漏洞，逐步利用它，然后将其与自己的应用进行对比。

PortSwigger Academy –

PortSwigger 还开发了 Burp Suite DAST（动态应用安全测试）工具。Burp Suite 是一套用于对 Web 应用进行渗透测试的工具。

主要目标

• 在攻击发生前进行预防
• 保护我们的用户
• 让我们（以及用户）能够安心入睡，知道大门已锁好

将 SAST 与 DAST 结合使用

将 SAST 与 DAST 工具相结合，可通过在源代码和运行中的应用程序中识别漏洞，提供更全面的安全姿态，实现更早的检测、改进覆盖范围，并降低生产环境中的风险。