问.NET网络应用程序的应用程序安全审计？

EN

最好的做法：

• 为源代码聘请一个安全人员/为黑盒分析

聘请一个安全人员是最好的做法

以下工具将会有所帮助:

WebInspects静态分析工具强化/盎司实验室-代码addon)

• Buying解决方案，例如HP WebInspects的secure object (VS.NET WebInspects是一种黑盒应用程序扫描程序，如Netsparker、Appscan、WebInspect、Hailstorm、Acunetix或Netsparker

的免费版本

聘请一些安全专家是一个好得多的主意(尽管成本会更高)，因为他们不仅会发现自动化工具可能会发现的注入和技术问题，还会发现所有逻辑问题。

在您的情况下，任何人都可以使用以下选项：

1. 代码审查，
2. 使用
3. 在运行时对应用程序进行动态分析的工具对代码库进行静态分析。

Mitchel已经指出了Fortify的用法。事实上，Fortify有两个产品来覆盖静态和动态分析领域- SCA (静态分析工具，用于开发)和PTA (在测试期间执行测试用例时执行应用程序分析)。

然而，没有一个工具是完美的，最终可能会出现误报(代码库的片段，尽管不容易受到攻击，但会被标记出来)和漏报。只有代码审查才能解决这样的问题。代码审查是昂贵的--并不是你的组织中的每个人都有能力用安全专家的眼睛审查代码。

首先，我们可以从OWASP开始。强烈建议在学习principles behind security之前先了解OWASP Development Guide (3.0正在起草中；2.0可以被认为是稳定的)。最后，您可以准备执行first scan of your code base。

我开始对我们的内部应用程序做的第一件事是使用诸如Fortify这样的工具对您的代码库进行安全性分析。

否则，您可以考虑征用专门从事安全性的第三方公司的服务，让他们测试您的应用程序。