1、揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 構筑系統的Web安全性測試體系 吳如偉 測試技術部經理 2013年11月 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ About Me 吳如偉 測試技術部經理 訊飛研究院測試團隊負責人 訊飛教育公司金牌講師 飛測論壇| 合肥首屆測試技術嘉年華| 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 引言 1 “安全第一”，人人都需要關注產品安全 Web安全測試體系 2 “安全保障”，構筑系統化的Web測試體系 踐行你的

2、安全 3 “安全踐行”，如何更好的去做好安全 安全帶來的思考 4 “安全為王”，構建安全應急響應體系 目錄CONTENTS 交流 分享 成長 開放 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 引言引言 2013 OWASP Top 10 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 有多少系統 像這樣在飛 不在于飛的多 高，關鍵是要 平安降落 有漏洞的系統交給客戶或獨立運營， 要么就搞定系統？要么搞定領導？ 靠引擎動力，而不是靠翅膀抖動 引言引言 有漏洞的系統也能運行？有漏洞的系統也能運行？ 揭示研發

3、管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 100萬 1000萬 20000萬 2億 語音云用戶大于 2012年1-2013月5月2011年7-12月2011年1-6月 1800萬次 每天請求 系統安全傷不起呀！ + 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 體系體系 安全開發測試模型安全開發測試模型 This is placeholder text. All phrases can b replaced with your own text. 計劃階段計劃階段 開發階段開發階段穩定階段穩定階段 構思階段

4、構思階段部署階段部署階段 開發開發 組組 安全需求安全需求 安全密級評估安全密級評估 項目安全管理項目安全管理 計劃計劃宣貫宣貫 代碼安全編代碼安全編 碼規范宣貫碼規范宣貫 Bug修復修復 代碼優化代碼優化 執行安全配置執行安全配置 安全總結安全總結 安全 測試 小組 分析安全需求 安全密級評審 安全訪談 威脅建模 方案設計 用例設計 代碼安全掃描 完善用例 安全檢測 用例執行 缺陷跟蹤 安全報告 提供安全配置 檢查表 項目測試總結 現網巡檢 產 物 立項申請書中 定密 安全訪談表 建模文檔 測試方案 代碼掃描報告 用例文檔 漏洞檢測 安全問題報告 風險評估報告 安全配置檢查 結果清單 過程

5、依據 項目密級評 定標準 安全測試手 冊 編碼安全規 范 項目安全上 線指標 安全配置 Checklist 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 體系體系 Web安全測試全貌安全測試全貌 安全訪談安全訪談 系統安全 性目標 系統安全 性風險 系統架構 設計 系統部署 方案 威脅建模威脅建模 系統利益 攻擊點分 析 常規漏洞 分析 編碼引入 風險分析 測試風險 分析 運行安全 審核 方案設計方案設計 安全性手 工測試用 例設計 安全性配 置檢查表 設計 安全性測 試工具選 擇 安全性測 試工具掃 描方案設 計 安全檢測安全檢測 安全性測 試手

6、工用 例執行 安全性測 試自動化 工具掃描 安全性測 試配置項 檢查 系統監測系統監測 網絡攻擊 監測 服務器掛 馬監測 異常請求 監測 異常情況 通知 安安 全全 性性 測測 試試 主主 要要 流流 程程 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 體系之一體系之一 安全訪談安全訪談 訪談目標 系統重點安全 目標 了解系統整體 架構 存在的安全性 威脅 了解運營維護 方式 訪談對象 項目經理 開發人員 測試人員 運維人員 訪談方式 對話訪談 問卷調查 數據統計 推論評估 相關資料 安全訪談工作 表 揭示研發管理白金定律，分享那些激動人心的創新與

7、變革，使得團隊獲得過多源動力與更大的推動力！ 踐行一踐行一 找對人挖對信息找對人挖對信息 測試測試 開發開發 運維運維 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 體系之二體系之二 威脅建模威脅建模 威脅種類 系統主要威 脅種類 系統安全區 域劃分 系統安全威 脅分析 攻擊 & 防 御 攻擊意圖 攻擊手段 防御手段 追蹤手段 建模過程 標識資源 創建總體 體系結構 分解應用 程序 識別威脅 記錄威脅 評價威脅 相關資料 安全建模工 具 u攻擊手段攻擊手段 DDOS攻擊 漏洞掃描 暴力破解 SQL注入攻擊 XSS攻擊 數據包截取 掛馬攻擊 社會工程

8、學攻擊 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 漏洞攻擊 網絡攻擊 信息截取 好奇者 競爭者 核心 利益 攻擊者 泄密者 撿漏者 試探者 我和我的小伙 伴們一起搞！ 踐行二踐行二 系統面臨的威脅系統面臨的威脅 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 踐行二踐行二 區分信任域區分信任域 標識信任邊界標識信任邊界 分解出從何處發起的對系統的請求 是可信任的 標識數據流標識數據流 分解出系統的數據流向，特別要注 意跨信任邊界的數據流 標識入口點標識入口點 入口可以是Web應用程序，也可以是 其他監

9、聽端口等 標識特權代碼標識特權代碼 例如訪問DNS、本地目錄等相關功能 的代碼 記錄安全配置列表文件記錄安全配置列表文件 列出各個易受攻擊區域需要考慮的 安全性問題 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 體系之三體系之三 方案設計方案設計 測試內容 測試模塊劃 分 測試方法選 擇 測試通過標 準 手工測試 測試用例選 擇 配置檢查項 選擇 工具掃描 測試工具選 擇 掃描規則選 擇 相關資料 手工測試用 例 配置項檢查 列表 安全性測試 工具 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 如何防止

10、網站圖片及視頻被盜鏈？ 踐行三踐行三 用威脅指導測試用威脅指導測試 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 踐行三踐行三 測試用例很重要測試用例很重要 技術安全技術安全 用例用例 l XSS漏洞 l SQL漏洞 l CSRF漏洞 l 重定向 l 文件上傳 l 信息泄露 l 框架配置 l 登錄 l 注銷 l 驗證碼 l 文件上傳 下載 l 用戶注冊 l 找回密碼 l 重要信息 l 搜索查詢 l 授權驗證 l 留言評論 l 購買 l 其他功能 業務安全業務安全 用例用例 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與

11、更大的推動力！ 體系之四體系之四 安全檢測安全檢測 測試執行 手工用例 執行 測試工具 掃描 配置項檢 查 結果分析 結果收集 整理 結果分析 確認 修復驗證 修復缺陷 驗證 相關資料 測試結論 模板 完全流程 威脅建模 主機、端口掃描 數據庫掃描 應用程序、接口 掃描 代碼掃描 滲透測試 攻擊測試 精減流程 應用程序、接口 掃描 代碼掃描 滲透測試 攻擊測試 最簡流程 應用程序、接口 掃描 滲透測試 攻擊測試 漏洞遺漏率33% 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 踐行四踐行四 測試測試or滲透滲透orBug OK! OK!到這里你就到這

12、里你就 收手吧收手吧！ 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 踐行四踐行四 評估系統安全風險評估系統安全風險 Risk = Likelihood * Impact 風險風險=可能性可能性*影響影響 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 體系之五體系之五 系統監測系統監測 實時監測 網絡故障監控 系統內容匹配 監測 網絡攻擊監測 消息通知 短信&郵件通 知 日志信息記錄 相關資料 監測工具 網絡故障監測 網絡是否連通監測 網絡響應時間監測 系統內容匹配監測 監測系統內容是否被惡意修改 系統

13、掛馬監測等 網絡攻擊監測 攻擊性操作監測 大訪問量監測 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 日志行為分析跟蹤 權限設置確保受限 用戶鑒權再次阻攔 不良請求首次過濾 OPEN-CLOSE原則 踐行五踐行五 時刻關注你的系統時刻關注你的系統 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ u關注+制度+工具 網絡行為實時監控 現網安全巡檢 安全應急響應 踐行五踐行五 堅持苦修苦行堅持苦修苦行 uOSSIM安全監控 資產（服務器、網絡設備、網段等）探測管理 網絡弱點掃描 網絡行為實時分析 威脅數據圖表

14、形式展現及報表生成 威脅點修復跟蹤流程化 安全知識庫 沒有永遠安全的產品，只有更安全的產品！沒有永遠安全的產品，只有更安全的產品！ 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 1 問題一問題一 事前防護策 略在哪里？ 2 問題二問題二 安全應急小 組在哪里？ 3 問題三問題三 安全指揮專 家在哪里？ 4 問題四問題四 事前、事中、 事后對比分 析在哪里？ 5 問題五問題五 還有多少網 站可能會存 在類似攻擊？ 6 問題六問題六 現在沒有問 題的網站就 沒有攻擊存 在嗎？ 思考之一思考之一 遇到攻擊怎么辦？遇到攻擊怎么辦？ 揭示研發管理白金定律，分

15、享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 緊急措施緊急措施過渡措施過渡措施根治措施根治措施 緊急措施緊急措施 安全應急策略啟動：安全配置、 安全分析、安全監控、防護開啟、 業務關閉、異常監控等 過渡措施過渡措施 安全監控分析：攻擊分析、業務 分析、安全策略調整、過程監控 分析等 根治措施根治措施 建立有效防范措施：安全風險評 估分析、運維安全、系統安全、 平臺安全、網絡安全、物理安全、 人員安全、數據庫安全等等。 提高防御能力 提升系統安全 及時及時 反饋反饋 有效有效 恢復服務恢復服務 快速快速 響應響應 思考之二思考之二 應急響應在哪里？應急響應在哪里？ 揭示研發管理白金定律，分享那些激動人心的創新與變革，使得團隊獲得過多源動力與更大的推動力！ 三步 曲 2 1 3 安全風險分析和評估 安全應急策略 安全運營監控告警 事前事前 安全應急領導小組 安全監控分析體系 應急安全防護方法 安全問題分析總結會 模擬攻擊應急演練 安全審查與審計 經驗分享與交