2025QECon全球软件质量效能大会：与金融业务融合的安全渗透测试创新实践

QECon全球软件质量&效能大会

·北京站GLOBALSOFTWAREQUALITY&EFFICIENCYCONFERENCE·BE!JING与金融业务融合的安全渗透测试创新实践陈伊|成方金科测试效能团队负责人陈伊成方金科测试效能团队负责人负责成方金科内部信息化统筹建设及测试工具体系规划和架构设计工作。对测试平台、工具、框架的工程建设和测试效能提升方面有丰富的实践经验。曾被评为2023年度QECon

明星讲师。全球软件质量&效能大会QECon全球软件质量&效能大会

背景与挑战 与业务融合的安全渗透测试创新实践

打造全链路BizDevSecOps

能力

应用实践效能目录CONTENTS架构复杂度高单体架构向分布式、微服务化、云原生化演进，高复杂度架构的“多节点、多链路”特性，使渗透测试极易出现覆盖盲区新技术挑战大人工智能、云计算、大数据等新技术在各行业的广泛应用，带来了新的安全风险，安全渗透测试的范围和难度大幅扩大攻击手段多样化攻击方式偏向隐蔽的技术入侵、利用业务逻辑漏洞、

社会工程等多种方式组合。攻击者的手段向多样化

攻击转变缺乏专业安全人才金融安全复合型人才不足，难以支撑企

业在敏捷转型后海量的、迭代式的安全

检测工作脱离业务检测目前安全渗透测试通常是脱离业务的抽样

式测试，渗透测试人员往往缺乏对业务的

深度认知，导致逻辑漏洞的挖掘率较低自动化程度低安全渗透测试多依赖于人工操作，行业安全研发

测试体系尚不完善，功能、安全测试工具缺乏统

一全局化设计与整合背景

挑战工具域安全需求自动建模工具

BizDevSecOps

流水线测试效能平台

CFLight功能安全一体化测试SAST

SCA

IAST

DAST

IDE安全插件

应用加固工具知识域应用安全需求分析指南

应用安全设计规范

应用安全编码规范

应用安全测试指南安全研发管理制度

应用缺陷定级指南

应用研发安全性评价指南安全事件溯源分析指南QE

服务型研发安全治理体系供应链安全平台模型域服务型安全基于GROW

模型的安全教练角色设计基于KANO模型的安全保障服务设计基于SERVQUAL模型的质量评估安全服务平台与质量保障体系服务反馈与持续创新体系态势感知平台全过程安全自动化安全需求建模以终为始的安全设计所见即所得的安全开发功能条目化的安全测试基于ASPM

的动态应用安全评价安全教练服务内生安全研发测试过程内置安全控制BizDevSecOps软件供应链安全风险与问题的融合管理事件与非事件的双模应急机制研发环境管理体系

目

线

求

陷综合绩效管理体系人力综合财务合规服务域项

二

需

缺基于金融业务的安全分析赋能业务安全创新01安全分析通用化需求人员不懂安全

结合业务分析落地难基于金融业务的安全分析安全需求条目●应采取有效措施保护身份鉴别信息安全，并使用安全的密码策略。●应采取安全的会话管理机制，如登陆失败处理、会话超时退出等。●身份鉴别信息在网络传输过程中应进行端到端加密。●重要系统或重要操作，应采用两种或两种以上组合的鉴别技术实现用

户身份鉴别。●启用升级或自适应身份验证(比如短信验证码、二次验证等)。●管理界面可具有锁定功能。●安全实施宜有忘记密码功能。●应使错误信息一致性、普通化来防止用户名枚举。●可对应用的二进制文件进行数字签名。●可在请求中增加令牌来拒绝可疑请求。●服务端应具备统一的会话注销机制。●可对进行跨域资源访问时的源进行校验。●应授予不同账户为完成各自承担任务所需的最小权限，实现用户的权

限分离

。●应建立安全的访问控制机制，重要操作时，对用户权限进行校验，防

止越权操作。●应建立安全的访问控制机制，严格控制文件、数据库、进程的权限。●应建立安全的账户管理机制，支持默认账户和预设账户的权限应为空

权限或某单一功能专用权限等。●在处理业务逻辑流时按照既定有序步骤顺序进行，避免用户跳过步骤

执

行

。●应具备用户发送给应用程序的请求校验机制，避免用户通过直接更改

请求中的参数达到越权。●应提供覆盖到每个用户的安全审计功能，身份鉴别、访问控制等重要

安全事件进行审计。需求人员

调查问卷1.系统服务属于什么:业务类型?D.数据传输类2.系统中涉及到的数

据类型有哪些自动生成自动化安全需求

分析工具自动化安全需求建模机制基于金融业务的安全分析信息输入

需求建模基础信息

引入概率风险评价法业务类型

数据类型动态调整威胁等级用户类型

业务连续性攻击威胁需求需求展示身份鉴别访问控制安全审计入侵防范数据保密性数据备份与恢复剩余信息保护个人信息保护基于金融业务的安全分析6大类26小类安全威胁类别评估身份假冒、篡改、抵赖、信息泄露、拒绝服务、特权提升等业务服务定级

系统服务定级安全指标调节因子等保级别

合规需求交易核算类

统计分析类数据传输类总行用户金融机构用户《网络安全等级保护定级指南》多因子调节

业务类型、业务信息、系统服务范围等场景信息登录功能

注册功能上传下载

第三方接入终端类型单位、个人身份信

息业务账户交易信息

综合管理信息符合

业务

特性攻击

威

胁

建

模合

规

建

模业务功能与安全渗透一站式测试安全测试工具新品类创新02一站式测试测试对象不全面测试过程不知晓测试自动化程度低业务功能与安全渗透QE

业务功能与安全渗透一站式测试开发人员

功能测试人员

安全测试人员安全渗透测试平台(CFLight)测试套件/案例接口调试参数化配置前后置动作自定义规则配置校验断言配置HTTP

走私安全渗透自动化执行攻击参数自动填充

自定义请求表单内容类型前后置、检验动作插件化配置

内置参数灵活加载断言判定(断言内容及方式)

攻击全过程可视化安全渗透智能分析系统全量接口自动获取

完全攻击类型智能分类接口字段智能扫描渗透字段智能匹配漏洞断言规则自动关联接口定义接

口API

批量导入渗透测试规则内置规则攻击字典未授权访问

会话管理

SQL

注入测试结果执行概览(成功率)执行结果明细异常信息查看案例重复执行用户管理用户认证应用管理环境管理基础层业

务

层服

务

层●直接复用功能接口API定义(研发测试维护)接口全量抓取

●接口工具

(Swagger、Postman、

浏览器抓包)全量导入●自动、全量、精准获取安全渗透测试用例接口API●

对安全测试中SQL、脚本、REDIS、FTP、摘要、加解密●

BASE64

编码解码和系统等待的多场景进行用例配置●接口中请求头、QUERY参

数

、REST

参数、请求体等丰富参数及个性化配置，以及前后置、校验动作的动态插件

基于功能测试延展的自动化渗透测试测试对象不全面

化黑盒为白盒，接口全覆盖透明化用例模型●通过文本编辑方式自定义Http表单请求体及Content-Type,

实现任意文件上传攻击扩展HttpClient框架融合业务、可视化攻击智能推荐、多类型覆盖安全渗透测试平台CFLight基于功能测试延展的自动化渗透测试安全渗透用例身份鉴别与认证会话管理访问管理信息泄露文件上传下载智能构造Mock

规则接口扫描规则引用生成规则攻击字典定制接口API字段类型字段名称字段描述接口路径接口名称接口描述测试过程不知晓

自动化程度低设计思路接口API

基础数据规则基于功能测试延展的自动化渗透测试应用

随机数-MockJs

语法枚举类型匹配接口扫描规则引用生成规则字段类型

字段名称

字段描述接口路径接口名称接口描述接口扫描器(内置、自定义)Mock规则设置应用设置案例生成帮助与支持接口字段轻显发送接口AP附试用刑试件98%执行明细号

用客

蛋录总用修数2

31

个用孵名称蛋录执行谐果失致用修缴4耗

时157毫秒执行的网令2024-04-25175838成功用修数

227个执行人sstem地过用修数0

个执行结摩报告下服操作查者◎成功枚举字典计划2

1told安全字典5Q入_1'andselect432

fro…成助7毫秒202404-25175839sstem查看循环膨胀3411toold安全字典-q注入selecther(selectfro…todld安全字典0鞋入and+slep3)◎成功◎成功8端秒10毫秒2024-04-251758392024-04-25175839sstemsstem查直看5

1tocld安全字典-0入_1'ora-'a◎成助7毫秒2024-04-25175839system查着6told安全字典-Q注入10R

1=1成功7毫秒2024-04-25175839sstem查看7

1told安全字典60入1'α

1

-

1成助7毫秒2024-04-25175839system查看QE

基于功能测试延展的自动化渗透测试针对公司内部的自研开发框架，灵活定制组织级漏洞库(业务逻辑漏洞)安全攻击字典1000+未授权访问登录爆破

文件上传SQL

注入目录遍历满足各类安全测试场景的校验需求，覆盖未授权访问、SQL

注入、会话管理、HTTP

走私等安全渗透

测

试

场

景

。相较传统渗透测试工具，CFLight

安全测试与校验更具有场景针对性，有效降低了安全

问题误报率，减少了大量专业安全测试人员人工甄别的工作量，提高了漏洞检测的可

靠性

和

准

确

性

。Http响应码条件存在数据长度header响应时间数值范围数值类型query响应大小布尔数据结构rest

基于功能测试延展的自动化渗透测试扩展多种断言内容

扩展多种断言方式

扩展多种内置参数业务流量回放驱动交互式渗透测试满足安全领域的业技融合创新03业务流量回放驱动交互式渗透测试脱离业务的抽样式测试测试类工具缺乏统一协同QE

业务流量回放驱动交互式渗透测试采用LogReplay(LogReplay

为自研流量回放工具)日志流量回放技术将流量数据进行捕获，并进行分析挖掘，实现测试阶段业务场景的高度还原IAST技术通过Agent与程序代码深度集成，在测试阶段主动对系统

的安全风险进行精细化的测试评估，为开发人员提供漏洞修复建。深度模拟业务场景开展测试，发现潜在的安全威胁，准确识

别异常活动，提高交付产品的安全性业

务

关

联关联业务绑定行号参数交易序号日

志

回

放接口转发数据发送报文回档

业务流量回放驱动交互式渗透测试交互式安全测试预定义安全规则行为实时分析IAST

后台策略管理漏洞管理信息收集数

据

清

洗业务类型过滤日志切分业务数据排序

分析挖掘数据源HTTP流量抓取业务日志抓取数据脱敏数据整合嗅探IASTAgent函数调用网络请求数据库调用数据库数据库操作应用服务器流量回放安全

组件库风险

函数库流量IAST管理后台用户管理模块策略下发策略管理模块漏洞管理模块报表展示模块部署管理模块信息收集模块信息上报业务流量回放驱动交互式渗透测试ASM

动态插桩污点跟踪模块漏洞分析算法信息收集模块信息上报模块动态智能插桩程序调用链启用代码框架代码第三方代码被测试应用服务器

JVM访问访问被测试应用与Agent测试

用

户风险函数库安全组件库Agent打造全链路BizDevSecOps

能力推进安全渗透测试左移落地见效更新更新更新更新BizDevSecOps研发基础设施

源代码管理工具

组件仓库

镜像仓库

容器云

被测应用系统打造全链路BizDevSecOps

能力基于功能接口的安全渗透测试工具功能API接口

用例条目化

规则定制功能/安全渗透案例自动生成类型校验多场景测试安全缺陷管理评价指标安全用例管理自动化安全需求分析工具通报态势感知平台源代码安

第三方组件

IOS安全加固

全检测

成分分析

(源代码混淆)测试结果管理安全测试评估工具安全性评价工具评价算法

评价展示镜像安全容器云安

主机安全

检

测

全检测检测Android

安全加

固(源代码混淆与加壳)IAST

交互式

应用安全流量回放DAST

自动

化渗透检测IDE安

全编码插件管理基础设施传统自动化

渗透测试组件资产安全管理(排查)安全需求

分析工具|平台操作演示业务融合√符合金融业务特性、量身定制安全需求√金融业务属性的渗透测

试用例库√还原真实业务场景，深度模拟业务攻击数据人才复合√业务人员、需求分析师产品经理√开发人员、功能测试人

员