ITKeyword - 技术文章推荐分享

首页 > 互联网企业低成本一体化安全测试之道

互联网企业低成本一体化安全测试之道

标签: 安全,

相关推荐:移动互联网安全性测试技术简介 - - 博客频道 - CSDN.NET

我们在讲“移动互联网安全性测试技术”之前,先来了解下移动互联网安全测评服务!它的整个生命周期包含安全检测、安全评估、安全加固和APP发布渠道监测。安全检测 对象:所有待上线的APP 目标:防止恶意软件流入应用市场 内容:对APP进行安全性检测,检

1、

安全测试介绍

a)

安全测试现状 应用安全形势日益严峻,新型黑客攻击手段层出不穷,用户对于隐私信息保护等安全要求越来越高。在创新网站、移动产品竞争激烈的今天,投资者与创业者更关心产品何时发布,如何占得先机获取更大的收益。为了保证产品尽快发布,尽可能减少人力成本和时间成本,从而将安全这个重要一环的工作放在了被攻击后的时机去解决。 所以,在当今的互联网产品中,大量的产品存在严重的安全风险,给黑客开启了众多可攻击的途径,轻松获取公司、用户敏感信息,引发网络舆论对公司产品千万严重的安全信誉影响。 而安全测试工作恰恰是解决在产品发布前的重要安全防御的一环,安全测试工作做好了,可以有效杜绝产品上的大部分安全漏洞,为企业声誉、用户隐私用户提供有力的安全保障。

b)

安全测试体系介绍 如何做好安全测试工作是门学问,不同公司、产品、业务拥有千奇百怪的功能和场景,需要在开发过程中的每一个环节进行深入,尽可能越早的发现安全漏洞对于成本控制来讲越是最低。 安全测试体系简单来说可以依托、介入开发过程来实现:

当然,以上所描述的安全测试工作需要遵循几个原则: 发现问题:让发现漏洞变的自动化(工具)解决问题:让修复漏洞变的人性化(流程)检测能力:让漏洞尽可能的检测到(覆盖率)

c)

安全测试工作开展情况 如安全测试体系中介绍,安全测试工作涉及多项流程和工具,一般企业、创业公司无法在每一个环节中切入去保证安全质量,也没有专业和安全人员去把控。所以,一般常见的处理方式是: 安全自测:购买或使用破解的安全软件对自身的产品做扫描。优点:成本低廉缺点:使用者不专者,效果不好安全外包:将安全交由专业的安全公司做渗透测试和安全测试。优点:可靠,全面缺点:费用较高,单次服务众测模式:发布测试任务,由白帽子参与评测,反馈漏洞信息。优点:公测,测试人员多,手段丰富缺点:新模式,安全结果取决于参与者能力 2、

安全测试常见测试手段剖析 接下来描述几下常见的安全测试方法和手段,以及优缺点,方便大家参考:

a)

黑盒检测: 通常方式是获取数据( URL、表单、Ajax 等相关请求),使用漏洞规则对其进行模糊测试,发现漏洞。 i.

手工:通过安全经验,借助于浏览器插件、抓包、Fuzzing 工具对产品进行测试。 常用工具:Firefox 插件:Firebug、hackbar、httpfox、Tamper Data、fiddler ,SQLMAP、NMAP等优缺点:更细节,但成本高。 ii.

代理拦截:将浏览器设置代理,获取浏览数据,自动 Fuzzing。 常用工具:Burp Suite、owa

相关推荐:xss 安全测试

测试用例:还是挺管用的,真的能发现潜在的bug

<script>alert(document.cookie)</script>

='><script>alert(document.cookie)</script>

<script>alert(document.cookie)</script>

<script>alert(vulnerable)</script>

%3Cscript%3Ealert('X

sp ZAP、ratproxy 等优缺点:业务流程绑定,覆盖更合,手工在页面点击,人工成本高 iii.

蜘蛛爬虫: 常用工具:WVS、Appscan等优缺点:自动化扫描,部分商业产品,收费高,上手困难,占用本地机器资源。

b)

白盒检测 白盒安全扫描有多不同,针对不同语言和平台的,相对黑盒扫描会有重要的问题:误报高、漏报高,且不同企业的开发语言、开发规范、开发框架不统一。 i.

正则匹配:基于漏洞特征和编码习惯维护漏洞库,使用正则对代码匹配,误别潜在的安全风险。误报高,且排查确认成本非常高。 ii.

语法树:将代码解析成语法树,通过变量传递等方式,基于风险输入特征、风险输出特征判断漏洞是否存在。这种方式精准度比较高,再结合业务开发构架和规则效果更好。 c)

其他检测手段 i.

白+黑关联 由于黑盒覆盖率不全,白盒误报比较高,会有一种方式是将代码找出来的漏洞,通过将代码映射成真实的URL,再交由黑盒Fuzzing 进行漏洞验证,这种方式的困难在于开发构架是否标准规范。 ii.

字节码注入 使用 Javassist 方式将java字节码的风险函数进行Hook,再利用 Fuzz 的方式实现灰盒检测的目的。 3、

安全测试问题及挑战 综合以上所述,安全测试工作涉及很多工作内容,同时要掌握诸多安全技术、安全工具、代码分析能力,是一项极具挑战的工作。让开发自测、让功能测试兼测都不是一种很放心的方案。 如何在基于人力有限情况,保证产品快速迭代、抢占市场先机同时又保证安全质量,就需要拥有一个免费的、自动化、便捷易用的黑+白盒一体化的安全测试服务。 4、

STS安全测试服务介绍 a)

介绍 皆在打造为用户提供黑盒+白盒自动化、漏洞实时更新、免费、方便快捷的一体化安全测试服务。 b)

功能 黑盒安全扫描:阿里巴巴内部多年技术沉淀的云端集群高速安全扫描服务,有效发现常见的安全漏洞,支持最新 0day 漏洞的检测。白盒安全扫描:基于动态编译对代码进行检测,高精准、低误报。广告检测:独立研发的高精准广告检测引擎,有效发现无线应用的广告插件,以及广告行为。 c)

优势 可靠:支持应用安全监控,定时对用户产品进行安全检测,发现漏洞后及时通知,防止漏洞被利用。便捷:操作简单,修复帮助清晰可读。快速:云端海量集群,及时反馈检测结果。多维度:支持WEB、无线应用的黑盒、白盒扫描,消灭漏洞于无形。 d)

发展 STS 安全检测服务将为用户提供多维度的安全评估功能,以专家维度评估应用的安全漏洞、潜在应用安全风险。并获取用户需求,及时高效完成用户需求,皆在帮助用户提供方便快捷的安全测试服务。 

相关推荐:低成本开始互联网创业:探讨域名、服务器、CDN、邮箱等节流之道

互联网创业一直是个热门话题,对这个问题我也有不断的思考。今天,探讨下如何低成本开始互联网创业。背景愿意冒险去创业的同志,大多是“屌丝”而非“高富帅”,大多是“小哥”而非“大叔”。也就是说,去搞互联网创业的人,大多很穷,没有过多的积蓄。因此,

1、????安全测试介绍?????a)????安全测试现状?应用安全形势日益严峻,新型黑客攻击手段层出不穷,用户对于隐私信息保护等安全要求越来越高。在创新网站、移动产品竞争激烈的今天,投资者与创业...

------分隔线----------------------------