基于云的安全测试？

Question

我们希望定期测试我们的网络应用程序是否存在漏洞--我们有一个BurpSuite许可证，但是我们想研究使用在线解决方案的可能性。

正如我们所看到的那样：

cost-effective：

• 小/没有员工培训需要
• ，它总是最新的(检查最新的已知vuns)
• ，可能更多的是

以前有人用过这样的解决方案吗？使用本地应用程序(如BurpSuite )进行手工测试的经验如何？

Answer 1

您的常规测试是否包括使用BurpSuite运行纯自动化扫描或手动分析？

基于云的扫描仪不会像在本地运行BurpSuite那样提供更多的交互性。手动分析对于分析设计问题、授权问题或逻辑错误非常重要。全自动扫描器将(或应该)做的是处理像SQL注入和XSS这样乏味的秃鹫测试。(把它看作是查找实现问题而不是设计问题。)

基于云的扫描仪可以替代您正在运行的“开箱即用”的BurpSuite扫描，即不使用太多配置。但它永远不应该少补充，而不是取代，好的手工测试。从成本上讲，这可能是一种好处。

虽然基于云的扫描仪可以“永远是最新的”，但实际上很少有新的网络秃鹫。例如，OWASP前10强在过去的7年中只发生了一点变化。如果你主要使用开源或商业网络应用，更新后的秃鹫会有所帮助，但它们不会对你自己构建的应用产生任何影响。

(FYI，我的观点来自于基于云的扫描仪。)