跟其他商业分析一样，网络应用的安全测试也有三个可能的结果：你的测试结果，你的漏洞评估以及真相。

不管用的是商用还是免费的扫描器，你都能收集到很多信息，从而发现这些网络应用的漏洞。问题是，其中可能有很多不是很严重的漏洞。无论营销方案还是precanned安全策略和报告，当需要从测试结果中整理出真正有威胁的漏洞时，你都应当从公司的网络，商业需求和能承受风险的大小这些方面来考虑。

网络安全应用测试工具极其聪明，它们能够在数分钟内发现那些世界上最好的黑客也需要花数小时，数月或者更多的时间才能找出的漏洞。当你拿到测试结果后，你需要决定什么才是至关重要的。某些没有经验的网络应用安全顾问、安全管理服务商以及审计员，他们在进行漏洞评估扫描后，直接把结果交给客户，并声称客户的系统有一大堆的漏洞需要修复。类似的，还有的网管看到测试工具找到的一大堆漏洞后大惊失色。他们会认为问题非常严重，并且立即跑去申请更多的预算来购置更多技术来解决这些问题。

即使你希望人们重视你的测试结果，你也无需用这样的方式表达，尤其是在你身为经理人或者开发人员的情况下。你得退一步，从全局角度考虑问题，结合公司的具体情况来分析这些评估结果。也就是说，你得换个角度（例如，从防火墙内侧而不是从外侧考虑）看待联机（或者通过漏洞连接）或者手动进行攻击的问题。

除非你的测试工具确实利用某漏洞进行了攻击，并将结果呈献给你，否则你必须深入研究漏洞评估的结果，并且确定什么才真正构成威胁。

下面是些网络应用安全漏洞的实例。你可以把这些情况称为假阳性，失察，妄想或者其他的——归根结底，它们都是表面上看起来很严重，但其实跟本不构成威胁。

漏洞评估发现1：发现SQL注入漏洞，它可能允许黑客访问数据库。

结果：进行适当的用户输入验证后，没有什么数据真的被人窃取。

漏洞评估发现2：由于没有在登陆页面上进行SSL（安全连接），会话ID和登陆信息是以文本形式发送的，黑客有可能截获这些信息。

结果：网管仍然没有在服务器上使用数字签名。

漏洞评估发现3：黑客有可能利用网络服务器软件的缓存溢出漏洞远程地在服务器上运行command命令行。

结果：使用可靠的防火墙和入侵检测系统后，服务器可以对所有传输开放而无需担心任何威胁。

漏洞评估发现4：微软FrontPage虚拟目录，FTP目录等等。

结果：设置适当的目录权限就可以阻止实际的访问。

漏洞评估发现5：发现带.old扩展名的备份文件，它有可能导致源码泄露和攻击。

结果：这些是以前的可执行文件，文档还有主页，跟安全威胁一点关系也没有。

漏洞评估发现6：安装了过期版本的Apache网络服务器，这将导致一系列漏洞以及对系统的无授权访问。

结果：系统中根本找不到Apache。

漏洞评估发现7：在Google黑客数据库（GHDB）中发现的文件，链接以及邮件地址能够泄露敏感信息。

结果：这些文件文件，链接以及邮件地址是网络应用进行操作时必须的。

漏洞评估发现8：人们可以通过访问Macromedia Dreamweaver远程数据库脚本来执行任意SQL查询。

结果：只有当用户以管理者/网管身份登陆的时候，他们才能够访问到这些文件。

有些漏洞看起来似乎是良性的，但是不考虑背景的话，人们还是有可能犯大错。比如，同一个漏洞在相对安全的网络应用中，跟处在监听不当的网络应用中安全性是完全不一样的，后者可能引发不必要的冲突，从而导致时间、精力以及金钱的浪费。

在考虑对网络应用的安全性进行测试和改进的时候，你应当集中关注最紧急最重要的问题。你得找出攻击者在你的公司的典型工作情景下能够利用的漏洞。到下周之前，你需要解决的是什么问题？哪些问题可以等一个月或者更长时间之后解决？哪些问题根本不需要解决？这些需要你结合自己公司的具体情况来考虑。不是说让你忽略其他问题，我们只是认为你得抓住主要矛盾而不是针对那些有可能永远不会被黑客们利用或者没有攻击价值的漏洞。

无论你的网络应用有多安全，总有些人能够发现攻击这些应用的方法。因此，你不得不使用重重的安全控制措施，比如防火墙，IPS，输入验证，严格的认证要求，最低访问控制，坚固的网络服务器以及操作系统，系统监控等等。这样，即使某一种防御失败了，你还有半打其他的保护措施来应对。

透彻地分析漏洞评估，而不是不加思考地接受所有结果，这样你的网络应用安全测试将进入更高的水平。让管理层知道，你不仅能从商业角度平衡应用安全与现实的关系，更重要的是你还能够减轻自己、团队以及开发人员的工作量，因此所有人都能够专注于真正重要的方面。

=============================================

原文作者：Caleb Sima and Kevin Beaver

原文来源：Securitypronews

原文链接：http://www.securitypronews.com/news/securitynews/spn-45-
20070306WhatsImportantinYourWebApplicationSecurityTesting.html