I tester di penetrazione professionale di solito sono bravi a trovare tutti i tipi di vulnerabilità, compresi i difetti logici, che sono altamente specifici per il sito in fase di test. Tuttavia, essendo un'attività manuale, i test di penetrazione vengono eseguiti di rado, quindi c'è il desiderio che gli sviluppatori facciano più QA di sicurezza in-house.
La sicurezza interna Il controllo qualità dipende in genere da uno strumento di sicurezza: uno scanner Web o un analizzatore di codici statici. Questi strumenti sono ideali per alcune vulnerabilità (ad esempio lo scripting cross-site) ma di solito non riescono a trovare difetti logici o di autorizzazione.
Quindi, come possiamo aiutare gli sviluppatori a trovare difetti logici e di autorizzazione?