 |
| ảnh minh họa |
Xác định một lỗ hổng tập lệnh cross-site hoặc rủi ro trong một khu vực của một ứng dụng có thể không chắc chắn phơi bày tất cả các trường hợp của lỗ hổng này trong ứng dụng. Chương này minh họa khái niệm và tiện ích của việc khắc phục.
Biện pháp khắc phục là gì
Xử lý là một hành động cung cấp một sự cải tiến để thay thế một sai lầm và thiết lập nó đúng. Thường thì sự hiện diện của tính dễ bị tổn thương trong một khu vực có thể cho thấy sự yếu kém trong quá trình hoặc thực tiễn phát triển có thể nhân rộng hoặc kích hoạt tính dễ bị tổn thương tương tự ở các địa điểm khác.
Do đó, trong khi khắc phục, điều quan trọng là người thử phải điều tra cẩn thận thực thể hoặc ứng dụng được thử nghiệm với các biện pháp kiểm thử bảo mật không hiệu quả trong tâm trí.
Vì những lý do này, công ty tương ứng nên thực hiện các bước để khắc phục mọi lỗ hổng có thể khai thác trong một khoảng thời gian hợp lý sau khi thử nghiệm thâm nhập ban đầu.
Trong thực tế, ngay sau khi công ty đã hoàn thành các bước này, người kiểm thử bút phải thực hiện kiểm thử lại để xác thực các điều khiển mới được thực hiện có khả năng giảm thiểu rủi ro ban đầu.
Các nỗ lực khắc phục kéo dài trong một thời gian dài hơn sau khi kiểm thử bút ban đầu có thể yêu cầu thực hiện một thử nghiệm mới để đảm bảo kết quả chính xác của môi trường mới nhất. Quyết định này nên được thực hiện sau khi phân tích rủi ro về sự thay đổi đã xảy ra kể từ khi thử nghiệm ban đầu được hoàn thành.
Hơn nữa, trong điều kiện cụ thể, vấn đề an ninh được gắn cờ có thể minh họa một lỗ hổng cơ bản trong môi trường hoặc ứng dụng tương ứng. Do đó, phạm vi kiểm thử lại nên xem xét liệu bất kỳ thay đổi nào gây ra bởi việc khắc phục được xác định từ thử nghiệm được phân loại là đáng kể.
Tất cả các thay đổi cần được kiểm thử lại; tuy nhiên, việc kiểm thử lại toàn bộ hệ thống là cần thiết hay không sẽ được xác định bởi đánh giá rủi ro của các thay đổi.
Không có nhận xét nào:
Đăng nhận xét