用工具可以自动化扫代码 扫出来也仅仅是默认漏洞而已 灰盒才是王道,我碰到过的最实际的安全测试,程序员给程序做了一个脚本的调试接口参数,我能知道数据进入程序的任何一个环节和流程的具体状态。
2009/3/5 xy7 <[email protected]> > 不知道你这相当不错的结论是不是亲自测试过得出的…… > 检测报告和最终报告之间还是要经过一套繁琐人工排查,现在的工具也都只是辅助而已 > > > 2009/3/4 孙融(Robert Sun) <[email protected]> > >> 相当不错 >> >> Fortify和Prevent都能卖到上百万 >> 其实这方面可以看一下TEAM509写的一篇BLOG >> http://www.team509.com/modules.php?name=News&file=article&sid=66 >> 拾人牙慧:) >> >> 2009/3/4 aking <[email protected]> >> >>> 不知道这些东东实际效果怎么样? >>> >>> >>> -- >>> I am aking >>> >>> >>> >>> >> >> >> -- >> [[Call Me]] >> >> Mobile[BJ]: 13911466441 >> Mobile[SH]: 13636450220 >> >> >> >> > > > > -- RAyH4c --~--~---------~--~----~------------~-------~--~----~ 要向邮件组发送邮件,请发到 [email protected] 要退订此邮件,请发邮件至 [email protected] -~----------~----~----~----~------~----~------~--~---
