Top100summit构筑系统的Web安全性测试体系_科大讯飞

揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！构筑系统的Web安全性测试体系吴如伟测试技术部经理2013年11月揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！AboutMe吴如伟测试技术部经理讯飞研究院测试团队负责人讯飞教育公司金牌讲师飞测论坛|合肥首届测试技术嘉年华|itest.iflytesting.com揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！引言1“安全第一”，人人都需要关注产品安全Web安全测试体系2“安全保障”，构筑系统化的Web测试体系践行你的安全3“安全践行”，如何更好的去做好安全安全带来的思考4“安全为王”，构建安全应急响应体系目录CONTENTS交流分享成长开放揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！引言2013OWASPTop10揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！有多少系统像这样在飞不在于飞的多高，关键是要平安降落有漏洞的系统交给客户或独立运营，要么就搞定系统？要么搞定领导？靠引擎动力，而不是靠翅膀抖动引言有漏洞的系统也能运行？揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！100万1000万20000万2亿语音云用户大于2012年1-2013月5月2011年7-12月2011年1-6月1800万次每天请求系统安全伤不起呀！+揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！体系安全开发测试模型Thisisplaceholdertext.Allphrasescanbreplacedwithyourowntext.计划阶段开发阶段稳定阶段构思阶段部署阶段开发组安全需求安全密级评估项目安全管理计划宣贯代码安全编码规范宣贯Bug修复代码优化执行安全配置安全总结安全测试小组分析安全需求安全密级评审安全访谈威胁建模方案设计用例设计代码安全扫描完善用例安全检测用例执行缺陷跟踪安全报告提供安全配置检查表项目测试总结现网巡检产物立项申请书中定密安全访谈表建模文档测试方案代码扫描报告用例文档漏洞检测安全问题报告风险评估报告安全配置检查结果清单过程依据《项目密级评定标准》《安全测试手册》《编码安全规范》《项目安全上线指标》《安全配置Checklist》揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！体系Web安全测试全貌安全访谈•系统安全性目标•系统安全性风险•系统架构设计•系统部署方案威胁建模•系统利益攻击点分析•常规漏洞分析•编码引入风险分析•测试风险分析•运行安全审核方案设计•安全性手工测试用例设计•安全性配置检查表设计•安全性测试工具选择•安全性测试工具扫描方案设计安全检测•安全性测试手工用例执行•安全性测试自动化工具扫描•安全性测试配置项检查系统监测•网络攻击监测•服务器挂马监测•异常请求监测•异常情况通知安全性测试主要流程揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！体系之一安全访谈访谈目标系统重点安全目标了解系统整体架构存在的安全性威胁了解运营维护方式访谈对象项目经理开发人员测试人员运维人员访谈方式对话访谈问卷调查数据统计推论评估相关资料安全访谈工作表揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！践行一找对人挖对信息测试开发运维揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！体系之二威胁建模威胁种类系统主要威胁种类系统安全区域划分系统安全威胁分析攻击&防御攻击意图攻击手段防御手段追踪手段建模过程标识资源创建总体体系结构分解应用程序识别威胁记录威胁评价威胁相关资料安全建模工具攻击手段◇DDOS攻击◇漏洞扫描◇暴力破解◇SQL注入攻击◇XSS攻击◇数据包截取◇挂马攻击◇社会工程学攻击◇…………揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！漏洞攻击网络攻击信息截取好奇者竞争者核心利益攻击者泄密者捡漏者试探者我和我的小伙伴们一起搞！践行二系统面临的威胁揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！践行二区分信任域◇标识信任边界分解出从何处发起的对系统的请求是可信任的◇标识数据流分解出系统的数据流向，特别要注意跨信任边界的数据流◇标识入口点入口可以是Web应用程序，也可以是其他监听端口等◇标识特权代码例如访问DNS、本地目录等相关功能的代码◇记录安全配置列表文件列出各个易受攻击区域需要考虑的安全性问题◇…………揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！体系之三方案设计测试内容测试模块划分测试方法选择测试通过标准手工测试测试用例选择配置检查项选择工具扫描测试工具选择扫描规则选择相关资料手工测试用例配置项检查列表安全性测试工具揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！如何防止网站图片及视频被盗链？践行三用威胁指导测试揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！践行三测试用例很重要技术安全用例XSS漏洞SQL漏洞CSRF漏洞重定向文件上传信息泄露框架配置登录注销验证码文件上传下载用户注册找回密码重要信息搜索查询授权验证留言评论购买其他功能业务安全用例揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！体系之四安全检测测试执行手工用例执行测试工具扫描配置项检查结果分析结果收集整理结果分析确认修复验证修复缺陷验证相关资料测试结论模板完全流程威胁建模主机、端口扫描数据库扫描应用程序、接口扫描代码扫描渗透测试攻击测试精减流程应用程序、接口扫描代码扫描渗透测试攻击测试最简流程应用程序、接口扫描渗透测试攻击测试漏洞遗漏率5%执行效率提升33%揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！践行四测试or渗透orBugOK!到这里你就收手吧！?php@eval($_POST[a]);?揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！践行四评估系统安全风险Risk=Likelihood*Impact风险=可能性*影响揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！体系之五系统监测实时监测网络故障监控系统内容匹配监测网络攻击监测消息通知短信&邮件通知日志信息记录相关资料监测工具网络故障监测网络是否连通监测网络响应时间监测系统内容匹配监测监测系统内容是否被恶意修改系统挂马监测等网络攻击监测攻击性操作监测大访问量监测揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！日志行为分析跟踪权限设置确保受限用户鉴权再次阻拦不良请求首次过滤OPEN-CLOSE原则践行五时刻关注你的系统揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！关注+制度+工具网络行为实时监控现网安全巡检安全应急响应践行五坚持苦修苦行OSSIM安全监控资产（服务器、网络设备、网段等）探测管理网络弱点扫描网络行为实时分析威胁数据图表形式展现及报表生成威胁点修复跟踪流程化安全知识库没有永远安全的产品，只有更安全的产品！揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！1事前防护策略在哪里？2问题二安全应急小组在哪里？3问题三安全指挥专家在哪里？4事前、事中、事后对比分析在哪里？5还有多少网站可能会存在类似攻击？6现在没有问题的网站就没有攻击存在吗？思考之一遇到攻击怎么办？揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！紧急措施过渡措施根治措施紧急措施安全应急策略启动：安全配置、安全分析、安全监控、防护开启、业务关闭、异常监控等过渡措施安全监控分析：攻击分析、业务分析、安全策略调整、过程监控分析等根治措施建立有效防范措施：安全风险评估分析、运维安全、系统安全、平台安全、网络安全、物理安全、人员安全、数据库安全等等。提高防御能力提升系统安全及时反馈有效恢复服务快速响应思考之二应急响应在哪里？揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！三步曲213安全风险分析和评估安全应急策略安全运营监控告警事前安全应急领导小组安全监控分析体系应急安全防护方法安全问题分析总结会模拟攻击应急演练安全审查与审计经验分享与交流事后事中思考之三正确面对安全事件揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！我们的or你们的？揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！Q&AWebGoatBacktrack5揭示研发管理白金定律，分享那些激动人心的创新与变革，使得团队获得过多源动力与更大的推动力！