Top100summit构筑系统的Web安全性测试体系—科大讯飞

1、揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 构筑系统的Web安全性测试体系 吴如伟 测试技术部经理 2013年11月 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ About Me 吴如伟 测试技术部经理 讯飞研究院测试团队负责人 讯飞教育公司金牌讲师 飞测论坛| 合肥首届测试技术嘉年华| 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 引言 1 “安全第一”，人人都需要关注产品安全 Web安全测试体系 2 “安全保障”，构筑系统化的Web测试体系 践行你的

2、安全 3 “安全践行”，如何更好的去做好安全 安全带来的思考 4 “安全为王”，构建安全应急响应体系 目录CONTENTS 交流 分享 成长 开放 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 引言引言 2013 OWASP Top 10 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 有多少系统 像这样在飞 不在于飞的多 高，关键是要 平安降落 有漏洞的系统交给客户或独立运营， 要么就搞定系统？要么搞定领导？ 靠引擎动力，而不是靠翅膀抖动 引言引言 有漏洞的系统也能运行？有漏洞的系统也能运行？ 揭示研发

3、管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 100万 1000万 20000万 2亿 语音云用户大于 2012年1-2013月5月2011年7-12月2011年1-6月 1800万次 每天请求 系统安全伤不起呀！ + 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 体系体系 安全开发测试模型安全开发测试模型 This is placeholder text. All phrases can b replaced with your own text. 计划阶段计划阶段 开发阶段开发阶段稳定阶段稳定阶段 构思阶段

4、构思阶段部署阶段部署阶段 开发开发 组组 安全需求安全需求 安全密级评估安全密级评估 项目安全管理项目安全管理 计划计划宣贯宣贯 代码安全编代码安全编 码规范宣贯码规范宣贯 Bug修复修复 代码优化代码优化 执行安全配置执行安全配置 安全总结安全总结 安全 测试 小组 分析安全需求 安全密级评审 安全访谈 威胁建模 方案设计 用例设计 代码安全扫描 完善用例 安全检测 用例执行 缺陷跟踪 安全报告 提供安全配置 检查表 项目测试总结 现网巡检 产 物 立项申请书中 定密 安全访谈表 建模文档 测试方案 代码扫描报告 用例文档 漏洞检测 安全问题报告 风险评估报告 安全配置检查 结果清单 过程

5、依据 项目密级评 定标准 安全测试手 册 编码安全规 范 项目安全上 线指标 安全配置 Checklist 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 体系体系 Web安全测试全貌安全测试全貌 安全访谈安全访谈 系统安全 性目标 系统安全 性风险 系统架构 设计 系统部署 方案 威胁建模威胁建模 系统利益 攻击点分 析 常规漏洞 分析 编码引入 风险分析 测试风险 分析 运行安全 审核 方案设计方案设计 安全性手 工测试用 例设计 安全性配 置检查表 设计 安全性测 试工具选 择 安全性测 试工具扫 描方案设 计 安全检测安全检测 安全性测 试手

6、工用 例执行 安全性测 试自动化 工具扫描 安全性测 试配置项 检查 系统监测系统监测 网络攻击 监测 服务器挂 马监测 异常请求 监测 异常情况 通知 安安 全全 性性 测测 试试 主主 要要 流流 程程 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 体系之一体系之一 安全访谈安全访谈 访谈目标 系统重点安全 目标 了解系统整体 架构 存在的安全性 威胁 了解运营维护 方式 访谈对象 项目经理 开发人员 测试人员 运维人员 访谈方式 对话访谈 问卷调查 数据统计 推论评估 相关资料 安全访谈工作 表 揭示研发管理白金定律，分享那些激动人心的创新与

7、变革，使得团队获得过多源动力与更大的推动力！ 践行一践行一 找对人挖对信息找对人挖对信息 测试测试 开发开发 运维运维 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 体系之二体系之二 威胁建模威胁建模 威胁种类 系统主要威 胁种类 系统安全区 域划分 系统安全威 胁分析 攻击 & 防 御 攻击意图 攻击手段 防御手段 追踪手段 建模过程 标识资源 创建总体 体系结构 分解应用 程序 识别威胁 记录威胁 评价威胁 相关资料 安全建模工 具 u攻击手段攻击手段 DDOS攻击 漏洞扫描 暴力破解 SQL注入攻击 XSS攻击 数据包截取 挂马攻击 社会工程

8、学攻击 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 漏洞攻击 网络攻击 信息截取 好奇者 竞争者 核心 利益 攻击者 泄密者 捡漏者 试探者 我和我的小伙 伴们一起搞！ 践行二践行二 系统面临的威胁系统面临的威胁 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 践行二践行二 区分信任域区分信任域 标识信任边界标识信任边界 分解出从何处发起的对系统的请求 是可信任的 标识数据流标识数据流 分解出系统的数据流向，特别要注 意跨信任边界的数据流 标识入口点标识入口点 入口可以是Web应用程序，也可以是 其他监

9、听端口等 标识特权代码标识特权代码 例如访问DNS、本地目录等相关功能 的代码 记录安全配置列表文件记录安全配置列表文件 列出各个易受攻击区域需要考虑的 安全性问题 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 体系之三体系之三 方案设计方案设计 测试内容 测试模块划 分 测试方法选 择 测试通过标 准 手工测试 测试用例选 择 配置检查项 选择 工具扫描 测试工具选 择 扫描规则选 择 相关资料 手工测试用 例 配置项检查 列表 安全性测试 工具 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 如何防止

10、网站图片及视频被盗链？ 践行三践行三 用威胁指导测试用威胁指导测试 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 践行三践行三 测试用例很重要测试用例很重要 技术安全技术安全 用例用例 l XSS漏洞 l SQL漏洞 l CSRF漏洞 l 重定向 l 文件上传 l 信息泄露 l 框架配置 l 登录 l 注销 l 验证码 l 文件上传 下载 l 用户注册 l 找回密码 l 重要信息 l 搜索查询 l 授权验证 l 留言评论 l 购买 l 其他功能 业务安全业务安全 用例用例 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与

11、更大的推动力！ 体系之四体系之四 安全检测安全检测 测试执行 手工用例 执行 测试工具 扫描 配置项检 查 结果分析 结果收集 整理 结果分析 确认 修复验证 修复缺陷 验证 相关资料 测试结论 模板 完全流程 威胁建模 主机、端口扫描 数据库扫描 应用程序、接口 扫描 代码扫描 渗透测试 攻击测试 精减流程 应用程序、接口 扫描 代码扫描 渗透测试 攻击测试 最简流程 应用程序、接口 扫描 渗透测试 攻击测试 漏洞遗漏率33% 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 践行四践行四 测试测试or渗透渗透orBug OK! OK!到这里你就到这

12、里你就 收手吧收手吧！ 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 践行四践行四 评估系统安全风险评估系统安全风险 Risk = Likelihood * Impact 风险风险=可能性可能性*影响影响 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 体系之五体系之五 系统监测系统监测 实时监测 网络故障监控 系统内容匹配 监测 网络攻击监测 消息通知 短信&邮件通 知 日志信息记录 相关资料 监测工具 网络故障监测 网络是否连通监测 网络响应时间监测 系统内容匹配监测 监测系统内容是否被恶意修改 系统

13、挂马监测等 网络攻击监测 攻击性操作监测 大访问量监测 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 日志行为分析跟踪 权限设置确保受限 用户鉴权再次阻拦 不良请求首次过滤 OPEN-CLOSE原则 践行五践行五 时刻关注你的系统时刻关注你的系统 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ u关注+制度+工具 网络行为实时监控 现网安全巡检 安全应急响应 践行五践行五 坚持苦修苦行坚持苦修苦行 uOSSIM安全监控 资产（服务器、网络设备、网段等）探测管理 网络弱点扫描 网络行为实时分析 威胁数据图表

14、形式展现及报表生成 威胁点修复跟踪流程化 安全知识库 没有永远安全的产品，只有更安全的产品！没有永远安全的产品，只有更安全的产品！ 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 1 问题一问题一 事前防护策 略在哪里？ 2 问题二问题二 安全应急小 组在哪里？ 3 问题三问题三 安全指挥专 家在哪里？ 4 问题四问题四 事前、事中、 事后对比分 析在哪里？ 5 问题五问题五 还有多少网 站可能会存 在类似攻击？ 6 问题六问题六 现在没有问 题的网站就 没有攻击存 在吗？ 思考之一思考之一 遇到攻击怎么办？遇到攻击怎么办？ 揭示研发管理白金定律，分

15、享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 紧急措施紧急措施过渡措施过渡措施根治措施根治措施 紧急措施紧急措施 安全应急策略启动：安全配置、 安全分析、安全监控、防护开启、 业务关闭、异常监控等 过渡措施过渡措施 安全监控分析：攻击分析、业务 分析、安全策略调整、过程监控 分析等 根治措施根治措施 建立有效防范措施：安全风险评 估分析、运维安全、系统安全、 平台安全、网络安全、物理安全、 人员安全、数据库安全等等。 提高防御能力 提升系统安全 及时及时 反馈反馈 有效有效 恢复服务恢复服务 快速快速 响应响应 思考之二思考之二 应急响应在哪里？应急响应在哪里？ 揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！ 三步 曲 2 1 3 安全风险分析和评估 安全应急策略 安全运营监控告警 事前事前 安全应急领导小组 安全监控分析体系 应急安全防护方法 安全问题分析总结会 模拟攻击应急演练 安全审查与审计 经验分享与交