互联网企业低成本一体化安全测试之道

1、    安全测试介绍 
    a)    安全测试现状 
应用安全形势日益严峻,新型黑客攻击手段层出不穷,用户对于隐私信息保护等安全要求越来越高。在创新网站、移动产品竞争激烈的今天,投资者与创业者更关心产品何时发布,如何占得先机获取更大的收益。为了保证产品尽快发布,尽可能减少人力成本和时间成本,从而将安全这个重要一环的工作放在了被攻击后的时机去解决。 
所以,在当今的互联网产品中,大量的产品存在严重的安全风险,给黑客开启了众多可攻击的途径,轻松获取公司、用户敏感信息,引发网络舆论对公司产品千万严重的安全信誉影响。 
而安全测试工作恰恰是解决在产品发布前的重要安全防御的一环,安全测试工作做好了,可以有效杜绝产品上的大部分安全漏洞,为企业声誉、用户隐私用户提供有力的安全保障。 
   b)    安全测试体系介绍 
如何做好安全测试工作是门学问,不同公司、产品、业务拥有千奇百怪的功能和场景,需要在开发过程中的每一个环节进行深入,尽可能越早的发现安全漏洞对于成本控制来讲越是最低。 
安全测试体系简单来说可以依托、介入开发过程来实现: 
互联网企业低成本一体化安全测试之道 
        当然,以上所描述的安全测试工作需要遵循几个原则: 

  • 发现问题:让发现漏洞变的自动化(工具)
  • 解决问题:让修复漏洞变的人性化(流程)
  • 检测能力:让漏洞尽可能的检测到(覆盖率)

 
     c)    安全测试工作开展情况 
如安全测试体系中介绍,安全测试工作涉及多项流程和工具,一般企业、创业公司无法在每一个环节中切入去保证安全质量,也没有专业和安全人员去把控。所以,一般常见的处理方式是: 

  • 安全自测:购买或使用破解的安全软件对自身的产品做扫描。
  • 优点:成本低廉
  • 缺点:使用者不专者,效果不好
  • 安全外包:将安全交由专业的安全公司做渗透测试和安全测试。
  • 优点:可靠,全面
  • 缺点:费用较高,单次服务
  • 众测模式:发布测试任务,由白帽子参与评测,反馈漏洞信息。
  • 优点:公测,测试人员多,手段丰富
  • 缺点:新模式,安全结果取决于参与者能力

 
2、    安全测试常见测试手段剖析 
接下来描述几下常见的安全测试方法和手段,以及优缺点,方便大家参考: 
   a)    黑盒检测: 
通常方式是获取数据( URL、表单、Ajax 等相关请求),使用漏洞规则对其进行模糊测试,发现漏洞。 
i.    手工:通过安全经验,借助于浏览器插件、抓包、Fuzzing 工具对产品进行测试。 

  • 常用工具:Firefox 插件:Firebug、hackbar、httpfox、Tamper Data、fiddler ,SQLMAP、NMAP等
  • 优缺点:更细节,但成本高。

 
ii.    代理拦截:将浏览器设置代理,获取浏览数据,自动 Fuzzing。 

  • 常用工具:Burp Suite、owasp ZAP、ratproxy 等
  • 优缺点:业务流程绑定,覆盖更合,手工在页面点击,人工成本高

 
iii.    蜘蛛爬虫: 

  • 常用工具:WVS、Appscan等
  • 优缺点:自动化扫描,部分商业产品,收费高,上手困难,占用本地机器资源。

 
     b)    白盒检测 
白盒安全扫描有多不同,针对不同语言和平台的,相对黑盒扫描会有重要的问题:误报高、漏报高,且不同企业的开发语言、开发规范、开发框架不统一。 
i.    正则匹配:基于漏洞特征和编码习惯维护漏洞库,使用正则对代码匹配,误别潜在的安全风险。误报高,且排查确认成本非常高。 
ii.    语法树:将代码解析成语法树,通过变量传递等方式,基于风险输入特征、风险输出特征判断漏洞是否存在。这种方式精准度比较高,再结合业务开发构架和规则效果更好。 
c)    其他检测手段 
i.    白+黑关联 
由于黑盒覆盖率不全,白盒误报比较高,会有一种方式是将代码找出来的漏洞,通过将代码映射成真实的URL,再交由黑盒Fuzzing 进行漏洞验证,这种方式的困难在于开发构架是否标准规范。 
ii.    字节码注入 
使用 Javassist 方式将java字节码的风险函数进行Hook,再利用 Fuzz 的方式实现灰盒检测的目的。 
3、    安全测试问题及挑战 
综合以上所述,安全测试工作涉及很多工作内容,同时要掌握诸多安全技术、安全工具、代码分析能力,是一项极具挑战的工作。让开发自测、让功能测试兼测都不是一种很放心的方案。 
如何在基于人力有限情况,保证产品快速迭代、抢占市场先机同时又保证安全质量,就需要拥有一个免费的、自动化、便捷易用的黑+白盒一体化的安全测试服务。 
4、    STS安全测试服务介绍 
a)    介绍 
皆在打造为用户提供黑盒+白盒自动化、漏洞实时更新、免费、方便快捷的一体化安全测试服务。 
b)    功能 

  • 黑盒安全扫描:阿里巴巴内部多年技术沉淀的云端集群高速安全扫描服务,有效发现常见的安全漏洞,支持最新 0day 漏洞的检测。
  • 白盒安全扫描:基于动态编译对代码进行检测,高精准、低误报。
  • 广告检测:独立研发的高精准广告检测引擎,有效发现无线应用的广告插件,以及广告行为。

 
c)    优势 

  • 可靠:支持应用安全监控,定时对用户产品进行安全检测,发现漏洞后及时通知,防止漏洞被利用。
  • 便捷:操作简单,修复帮助清晰可读。
  • 快速:云端海量集群,及时反馈检测结果。
  • 多维度:支持WEB、无线应用的黑盒、白盒扫描,消灭漏洞于无形。

 
d)    发展 
STS 安全检测服务将为用户提供多维度的安全评估功能,以专家维度评估应用的安全漏洞、潜在应用安全风险。并获取用户需求,及时高效完成用户需求,皆在帮助用户提供方便快捷的安全测试服务。

上一篇:物联网设备安全1.1 选用色调照明设备的原因


下一篇:查杀 libudev.so 和 XMR 挖矿程序记录