很多人都知道,在學校學的技術,初創公司的技術,外包公司的技術,自研公司的技術跟互聯網大廠的技術有天壤之別,幾乎所有在互聯網這個圈子里的人都有一個“大廠夢”,因為進了大廠意味著更先進的技術,更高的薪資,更優秀的同事跟領導,更好的成長空間,甚至你只要是從大廠出來,以后找作業都要方便很多,
今天,我們就離大廠更近一點,共同學習阿里這份《阿里巴巴集團Web安全測驗規范》
《阿里巴巴集團Web安全測驗規范》
背景簡介
為了規避安全風險、規范代碼的安全開發,以及如何系統的進行安全性測驗,目前缺少相應的理論和方法支撐,為此,我們制定《安全測驗規范》,本規范可讓測驗人員針對常見安全漏洞或攻擊方式,系統的對被測系統進行快速安全性測驗,
適用讀者
本規范的讀者及使用物件主要為測驗人員、開發人員等,
適用范圍
本規范主要針對基于通用服務器的Web應用系統為例,其他系統也可以參考,如下圖例說明了一種典型的基于通用服務器的Web應用系統:
本規范中的方法以攻擊性測驗為主,除了覆寫業界常見的Web安全測驗方法以外,也借鑒了一些業界最佳安全實踐,
安全測驗在專案整體流程中所處的位置
一般建議在集成測驗前根據產品實作架構及安全需求,完成安全性測驗需求分析和測驗設計,準備好安全測驗用例,
在集成版本正式轉測驗后,即可進行安全測驗,如果產品質量不穩定,前期功能性問題較多,則可適當推后安全測驗執行,
Web安全測驗方法
安全功能驗證
功能驗證是采用軟體測驗當中的黑盒測驗方法,對涉及安全的軟體功能,如:用戶管理模塊,權限管理模塊,加密系統,認證系統等進行測驗,主要驗證上述功能是否有效,不存在安全漏洞,具體方法可使用黑盒測驗方法,
漏洞掃描
漏洞掃描是指基于漏洞資料庫,通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測,發現可利用的漏洞的一種安全檢測(滲透攻擊)行為,
漏洞掃描技術是一類重要的網路安全技術,它和防火墻、入侵檢測系統互相配合,能夠有效提高網路的安全性,通過對網路的掃描,網路管理員能了解網路的安全設定和運行的應用服務,及時發現安全漏洞,客觀評估網路風險等級,網路管理員能根據掃描的結果更正網路安全漏洞和系統中的錯誤設定,在黑客攻擊前進行防范,如果說防火墻和網路監視系統是被動的防御手段,那么安全掃描就是一種主動的防范措施,能有效避免黑客攻擊行為,做到防患于未然,
Appscan工具介紹
Appscan掃描工具只能檢測到部分常見的漏洞(如跨站腳本、SQL注入等),不是針對用戶代碼的,也就是說不能理解業務邏輯,無法對這些漏洞做進一步業務上的判斷,往往最嚴重的安全問題并不是常見的漏洞,而是通過這些漏洞針對業務邏輯和應用的攻擊,
Web目前分為“應用”和“Web服務”兩部分,應用指通常意義上的Web應用,而Web 服務是一種面向服務的架構的技術,通過標準的Web協議(如HTTP、XML、SOAP、WSDL)提供服務,
AppScan作業原理
AppScan作業原理:
1、通過搜索(爬行)發現整個 Web 應用結構,
2、根據分析,發送修改的 HTTP Request 進行攻擊嘗試(掃描規則庫),
3、通過對于 Respond 的分析驗證是否存在安全漏洞,
所以,AppScan 的核心是提供一個掃描規則庫,然后利用自動化的“探索”技術得到眾多的頁面和頁面引數,進而對這些頁面和頁面引數進行安全性測驗,“掃描規則庫”,“探索”,“測驗”就構成了 AppScan 的核心三要素,
測驗用例和規范標準
測驗用例和規范標準可分為主動模式和被動模式兩種,在被動模式中,測驗人員盡可能地了解應用邏輯:比如用工具分析所有的HTTP請求及回應,以便測驗人員掌握應用程式所有的接入點(包括HTTP頭,引數,cookies等);在主動模式中,測驗人員試圖以黑客的身份來對應用及其系統、后臺等進行滲透測驗,其可能造成的影響主要是資料破壞、拒絕服務等,一般測驗人員需要先熟悉目標系統,即被動模式下的測驗,然后再開展進一步的分析,即主動模式下的測驗,主動測驗會與被測目標進行直接的資料互動,而被動測驗不需要,參考以下示意圖:
本規范所涉及的測驗工具
安全工具的申請和使用請遵循公司資訊安全相關規定,
工具名稱
AppScan IBM Rational AppScan,在Web安全測驗中所使用的自動化掃描工具
WebScarab Web Proxy軟體,可以對瀏覽器與Web服務器之間的通信資料進行編輯修改
DirBuster 在Web安全測驗中用來遍歷目錄、檔案的工具
WSDigger Web service 安全測驗工具
Jad Java class檔案反編譯軟體
CAJAVA Java class檔案反編譯軟體(兼容多個JDK版本)
Pangolin SQL注入測驗工具
WireShark 網路協議抓包與分析工具
福利
需要這份《阿里巴巴集團Web安全測驗規范》獨家版的可以點擊下面領取
《阿里巴巴集團Web安全測驗規范》
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/310548.html
標籤:其他
下一篇:UAT測驗的帶隊經驗