如何在外包开发时抵御SQL注入攻击

来源:互联网  
2014/11/6 8:51:00
Ponemon研究所最新报告称,65%的受访者在过去一年遭遇了SQL注入攻击,然而,很少有企业采取了一致的措施来阻止这种攻击。

本文关键字: 外包开发 SQL Web 应用安全

Ponemon研究所最新报告称,65%的受访者在过去一年遭遇了SQL注入攻击,然而,很少有企业采取了一致的措施来阻止这种攻击。我们外包了大量开发工作,仍然难以让开发人员在质量保障(QA)过程中执行一致的审计代码验证。考虑到这一点,我们如何利用有限的资源来防止这些攻击呢?

Nick Lewis:现在有很多可用的工具让脚本小子用来广泛扫描SQL注入(SQLi),如此看来,如果只有65%的受访者遭遇了SQLi攻击,那么,这说明35%的受访者在其环境中没有有效的监控来发现这些攻击。换句换说,几乎每个企业都是SQLi攻击的目标。

当你外包开发工作时,你需要提出一些问题。首先,在与外包开发商的合同中是否有安全要求?这些外包开发商需要标准来遵循安全开发生命周期?他们是否对系统开发生命周期和如何安全地编码接受过培训?外包开发商对代码中的漏洞是否承担责任?如果这些问题的答案是否定的,那么,在未来合同中应该增加这些条款,并且,现有合同应该进行修订来涵盖这些条款。

除了外包和这些条款,企业还可以添加SQLi扫描仪或者攻击工具来发现软件开发过程质量保障周期中的SQLi漏洞,并提高安全性。

开放Web应用安全项目有一个SQLi抵御手册来帮助企业和开发人员阻止攻击。企业甚至可以使用脚本小子在其攻击中使用的相同工具来发现潜在易受攻击的代码或应用。企业还可以执行静态代码分析来审计任何SQLi攻击代码。在这些代码进入生产阶段后,企业可以使用Web应用防火墙来阻止潜在SQLi攻击,或者,利用入侵防御系统或防火墙中的功能来阻止攻击。

责编:李玉琴
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918