构筑系统的Web安全性测试体系(共页28)

构筑系统的Web平安性测试体系吴如伟测试技术部经理2021年11月AboutMe吴如伟测试技术部经理讯飞研究院测试团队负责人讯飞教育公司金牌讲师飞测论坛|合肥首届测试技术嘉年华|引言1“安全第一”，人人都需要关注产品安全Web安全测试体系2“安全保障”，构筑系统化的Web测试体系践行你的安全3“安全践行”，如何更好的去做好安全安全带来的思考4“安全为王”，构建安全应急响应体系目录CONTENTS交流分享成长开放引言

2013OWASPTop10有多少系统像这样在飞不在于飞的多高，关键是要平安降落有漏洞的系统交给客户或独立运营，要么就搞定系统？要么搞定领导？靠引擎动力，而不是靠翅膀抖动引言

有漏洞的系统也能运行？100万1000万20000万2亿语音云用户大于2021年1-2021月5月2021年7-12月2021年1-6月1800万次每天请求系统平安伤不起呀！+体系

安全开发测试模型Thisisplaceholdertext.

Allphrasescanbreplaced

withyourowntext.计划阶段开发阶段稳定阶段构思阶段部署阶段体系Web安全测试全貌安全访谈系统安全性目标系统安全性风险系统架构设计系统部署方案威胁建模系统利益攻击点分析常规漏洞分析编码引入风险分析测试风险分析运行安全审核方案设计安全性手工测试用例设计安全性配置检查表设计安全性测试工具选择安全性测试工具扫描方案设计安全检测安全性测试手工用例执行安全性测试自动化工具扫描安全性测试配置项检查系统监测网络攻击监测服务器挂马监测异常请求监测异常情况通知安全性测试主要流程体系之一

安全访谈访谈目标系统重点安全目标了解系统整体架构存在的安全性威胁了解运营维护方式访谈对象项目经理开发人员测试人员运维人员访谈方式对话访谈问卷调查数据统计推论评估相关资料安全访谈工作表践行一

找对人挖对信息测试开发运维体系之二

威胁建模威胁种类系统主要威胁种类系统安全区域划分系统安全威胁分析攻击&防御攻击意图攻击手段防御手段追踪手段建模过程标识资源创建总体体系结构分解应用程序识别威胁记录威胁评价威胁相关资料安全建模工具攻击手段

DDOS攻击

漏洞扫描

暴力破解

SQL注入攻击

XSS攻击

数据包截取

挂马攻击

社会工程学攻击

…………

漏洞攻击网络攻击信息截取好奇者竞争者核心利益攻击者泄密者捡漏者试探者我和我的小伙伴们一起搞！践行二系统面临的威胁践行二区分信任域

标识信任边界分解出从何处发起的对系统的请求是可信任的

标识数据流分解出系统的数据流向，特别要注意跨信任边界的数据流

标识入口点入口可以是Web应用程序，也可以是其他监听端口等

标识特权代码例如访问DNS、本地目录等相关功能的代码

记录安全配置列表文件列出各个易受攻击区域需要考虑的安全性问题

…………体系之三

方案设计测试内容测试模块划分测试方法选择测试通过标准手工测试测试用例选择配置检查项选择工具扫描测试工具选择扫描规则选择相关资料手工测试用例配置项检查列表安全性测试工具如何防止网站图片及视频被盗链？践行三

用威胁指导测试践行三

测试用例很重要技术安全用例XSS漏洞SQL漏洞CSRF漏洞重定向文件上传信息泄露框架配置登录注销验证码文件上传下载用户注册找回密码重要信息搜索查询授权验证留言评论购买其他功能业务安全用例体系之四

安全检测测试执行手工用例执行测试工具扫描配置项检查结果分析结果收集整理结果分析确认修复验证修复缺陷验证相关资料测试结论模板完全流程威胁建模主机、端口扫描数据库扫描应用程序、接口扫描代码扫描渗透测试攻击测试精减流程应用程序、接口扫描代码扫描渗透测试攻击测试最简流程应用程序、接口扫描渗透测试攻击测试漏洞遗漏率<5%执行效率提升>33%践行四

测试or渗透orBugOK!到这里你就收手吧！<?php@eval($_POST[a]);?>践行四

评估系统安全风险Risk=Likelihood*Impact风险=可能性*影响体系之五

系统监测实时监测网络故障监控系统内容匹配监测网络攻击监测消息通知短信&邮件通知日志信息记录相关资料监测工具网络故障监测

网络是否连通监测

网络响应时间监测系统内容匹配监测

监测系统内容是否被恶意修改系统挂马监测等网络攻击监测

攻击性操作监测

大访问量监测日志行为分析跟踪权限设置确保受限用户鉴权再次阻拦不良请求首次过滤OPEN-CLOSE原那么践行五时刻关注你的系统关注+制度+工具网络行为实时监控现网平安巡检平安应急响应践行五坚持苦修苦行OSSIM平安监控资产〔效劳器、网络设备、网段等〕探测管理网络弱点扫描网络行为实时分析威胁数据图表形式展现及报表生成威胁点修复跟踪流程化平安知识库没有永远平安的产品，只有更平安的产品！1问题一事前防护策略在哪里？2问题二安全应急小组在哪里？3问题三安全指挥专家在哪里？4问题四事前、事中、事后对比分析在哪里？5问题五还有多少网站可能会存在类似攻击？6问题六现在没有问题的网站就没有攻击存在吗？思考之一

遇到攻击怎么办？紧急措施过渡措施根治措施紧急措施平安应急策略启动：平安配置、平安分析、平安监控、防护开启、业务关闭、异常监控等过渡措施平安监控分析：攻击分析、业务分析、平安策略调整、过程监控分析等根治措施建立有效防范措施：平安风险评估分析、运维平安、系统平安、平台平安、网络平安、物理平安、人员平安、数据库平安等等。提高防御能力提升系统平安及时反馈有效恢复服务快速响应思考之二应急响应在哪里？三步曲213平安