資訊專欄INFORMATION COLUMN
摘要:今天,我們就離大廠更近一點,共同學(xué)習(xí)阿里這份阿里巴巴集團安全測試規(guī)范阿里巴巴集團安全測試規(guī)范阿里巴巴集團安全測試規(guī)范背景簡介為了規(guī)避安全風(fēng)險規(guī)范代碼的安全開發(fā),以及如何系統(tǒng)的進行安全性測試,目前缺少相應(yīng)的理論和方法支撐。
很多人都知道,在學(xué)校學(xué)的技術(shù),初創(chuàng)公司的技術(shù),外包公司的技術(shù),自研公司的技術(shù)跟互聯(lián)網(wǎng)大廠的技術(shù)有天壤之別,幾乎所有在互聯(lián)網(wǎng)這個圈子里的人都有一個“大廠夢”,因為進了大廠意味著更先進的技術(shù),更高的薪資,更優(yōu)秀的同事跟領(lǐng)導(dǎo),更好的成長空間。甚至你只要是從大廠出來,以后找工作都要方便很多。
今天,我們就離大廠更近一點,共同學(xué)習(xí)阿里這份《阿里巴巴集團Web安全測試規(guī)范》
為了規(guī)避安全風(fēng)險、規(guī)范代碼的安全開發(fā),以及如何系統(tǒng)的進行安全性測試,目前缺少相應(yīng)的理論和方法支撐。為此,我們制定《安全測試規(guī)范》,本規(guī)范可讓測試人員針對常見安全漏洞或攻擊方式,系統(tǒng)的對被測系統(tǒng)進行快速安全性測試。
本規(guī)范的讀者及使用對象主要為測試人員、開發(fā)人員等。
本規(guī)范主要針對基于通用服務(wù)器的Web應(yīng)用系統(tǒng)為例,其他系統(tǒng)也可以參考。如下圖例說明了一種典型的基于通用服務(wù)器的Web應(yīng)用系統(tǒng):
本規(guī)范中的方法以攻擊性測試為主。除了覆蓋業(yè)界常見的Web安全測試方法以外,也借鑒了一些業(yè)界最佳安全實踐。
一般建議在集成測試前根據(jù)產(chǎn)品實現(xiàn)架構(gòu)及安全需求,完成安全性測試需求分析和測試設(shè)計,準備好安全測試用例。
在集成版本正式轉(zhuǎn)測試后,即可進行安全測試。如果產(chǎn)品質(zhì)量不穩(wěn)定,前期功能性問題較多,則可適當(dāng)推后安全測試執(zhí)行。
功能驗證是采用軟件測試當(dāng)中的黑盒測試方法,對涉及安全的軟件功能,如:用戶管理模塊,權(quán)限管理模塊,加密系統(tǒng),認證系統(tǒng)等進行測試,主要驗證上述功能是否有效,不存在安全漏洞,具體方法可使用黑盒測試方法。
漏洞掃描是指基于漏洞數(shù)據(jù)庫,通過掃描等手段對指定的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測,發(fā)現(xiàn)可利用的漏洞的一種安全檢測(滲透攻擊)行為。
漏洞掃描技術(shù)是一類重要的網(wǎng)絡(luò)安全技術(shù)。它和防火墻、入侵檢測系統(tǒng)互相配合,能夠有效提高網(wǎng)絡(luò)的安全性。通過對網(wǎng)絡(luò)的掃描,網(wǎng)絡(luò)管理員能了解網(wǎng)絡(luò)的安全設(shè)置和運行的應(yīng)用服務(wù),及時發(fā)現(xiàn)安全漏洞,客觀評估網(wǎng)絡(luò)風(fēng)險等級。網(wǎng)絡(luò)管理員能根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯誤設(shè)置,在黑客攻擊前進行防范。如果說防火墻和網(wǎng)絡(luò)監(jiān)視系統(tǒng)是被動的防御手段,那么安全掃描就是一種主動的防范措施,能有效避免黑客攻擊行為,做到防患于未然。
Appscan掃描工具只能檢測到部分常見的漏洞(如跨站腳本、SQL注入等),不是針對用戶代碼的,也就是說不能理解業(yè)務(wù)邏輯,無法對這些漏洞做進一步業(yè)務(wù)上的判斷。往往最嚴重的安全問題并不是常見的漏洞,而是通過這些漏洞針對業(yè)務(wù)邏輯和應(yīng)用的攻擊。
Web目前分為“應(yīng)用”和“Web服務(wù)”兩部分。應(yīng)用指通常意義上的Web應(yīng)用,而Web 服務(wù)是一種面向服務(wù)的架構(gòu)的技術(shù),通過標(biāo)準的Web協(xié)議(如HTTP、XML、SOAP、WSDL)提供服務(wù)。
AppScan工作原理:
1、通過搜索(爬行)發(fā)現(xiàn)整個 Web 應(yīng)用結(jié)構(gòu)。
2、根據(jù)分析,發(fā)送修改的 HTTP Request 進行攻擊嘗試(掃描規(guī)則庫)。
3、通過對于 Respond 的分析驗證是否存在安全漏洞。
所以,AppScan 的核心是提供一個掃描規(guī)則庫,然后利用自動化的“探索”技術(shù)得到眾多的頁面和頁面參數(shù),進而對這些頁面和頁面參數(shù)進行安全性測試。“掃描規(guī)則庫”,“探索”,“測試”就構(gòu)成了 AppScan 的核心三要素。
測試用例和規(guī)范標(biāo)準可分為主動模式和被動模式兩種。在被動模式中,測試人員盡可能地了解應(yīng)用邏輯:比如用工具分析所有的HTTP請求及響應(yīng),以便測試人員掌握應(yīng)用程序所有的接入點(包括HTTP頭,參數(shù),cookies等);在主動模式中,測試人員試圖以黑客的身份來對應(yīng)用及其系統(tǒng)、后臺等進行滲透測試,其可能造成的影響主要是數(shù)據(jù)破壞、拒絕服務(wù)等。一般測試人員需要先熟悉目標(biāo)系統(tǒng),即被動模式下的測試,然后再開展進一步的分析,即主動模式下的測試。主動測試會與被測目標(biāo)進行直接的數(shù)據(jù)交互,而被動測試不需要,參考以下示意圖:
安全工具的申請和使用請遵循公司信息安全相關(guān)規(guī)定。
工具名稱
AppScan IBM Rational AppScan,在Web安全測試中所使用的自動化掃描工具
WebScarab Web Proxy軟件,可以對瀏覽器與Web服務(wù)器之間的通信數(shù)據(jù)進行編輯修改
DirBuster 在Web安全測試中用來遍歷目錄、文件的工具
WSDigger Web service 安全測試工具
Jad Java class文件反編譯軟件
CAJAVA Java class文件反編譯軟件(兼容多個JDK版本)
Pangolin SQL注入測試工具
WireShark 網(wǎng)絡(luò)協(xié)議抓包與分析工具
福利
需要這份《阿里巴巴集團Web安全測試規(guī)范》獨家版的可以點擊下面領(lǐng)取
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/122370.html
摘要:也可以安裝瀏覽器插件或,在某個文件的網(wǎng)頁上就能看到一個的按鈕,點擊即可。 【AIS-TXD前端技術(shù)月刊】- 本月熱門前端技術(shù)快報,匯聚 Github Trending 流行 Repo 和熱門文章,文末有福利 showImg(https://segmentfault.com/img/remote/1460000018406928?w=1352&h=808); 歡迎?訂閱?&?投稿本期小編...
摘要:也可以安裝瀏覽器插件或,在某個文件的網(wǎng)頁上就能看到一個的按鈕,點擊即可。 【AIS-TXD前端技術(shù)月刊】- 本月熱門前端技術(shù)快報,匯聚 Github Trending 流行 Repo 和熱門文章,文末有福利 showImg(https://segmentfault.com/img/remote/1460000018406928?w=1352&h=808); 歡迎?訂閱?&?投稿本期小編...
摘要:也可以安裝瀏覽器插件或,在某個文件的網(wǎng)頁上就能看到一個的按鈕,點擊即可。 【AIS-TXD前端技術(shù)月刊】- 本月熱門前端技術(shù)快報,匯聚 Github Trending 流行 Repo 和熱門文章,文末有福利 showImg(https://segmentfault.com/img/remote/1460000018406928?w=1352&h=808); 歡迎?訂閱?&?投稿本期小編...
摘要:本屆大會議題數(shù)量接近,比去年規(guī)模較大的北美峰會多出了近一倍。同時還在華為伙伴公有云等云平臺上創(chuàng)建集群并接入了他們的平臺,以便于快速響應(yīng)技術(shù)峰會等大型活動期間暴漲的計算量。Kubernetes,云原生,service mesh,這些驚人的全球增長趨勢,令人欣喜之余迫不及待想要看看云原生在未來究竟會發(fā)展出怎樣一派繁榮的景象。 容器領(lǐng)域最具影響力的技術(shù)峰會之一 KubeCon + Cloud...
閱讀 3723·2021-10-13 09:39
閱讀 3789·2021-09-24 09:48
閱讀 1188·2021-09-01 10:30
閱讀 2525·2019-08-30 15:55
閱讀 1773·2019-08-29 16:39
閱讀 2295·2019-08-26 13:55
閱讀 3049·2019-08-26 12:23
閱讀 1633·2019-08-26 11:59
