大型互联网自动化安全测试

Download Report

Transcript 大型互联网自动化安全测试

大型互联网自动化安全测试
Large-scale Internet Automated Security Testing
woyigui
Weibo.com:@淘宝王挺
工作:淘宝
自动化安全测试的目标和价值
需要做到如下几点:
降低线
上漏洞
提高效率
降低人员
投入成本
传统安全测试的方法?
依靠工具手工测试?
蜘蛛式扫描方式?
关键字式的静态扫描?
自动化安全测试方法
白盒自动化
黑盒自动化
优缺点&期望
白盒测试
如何实现白盒自动化
扫描修复 7 步走
Tips:当你把安全框架、规范、缺陷与开发流程打通,就降低了沟通成本:
安全框架
基于安全框架规则扫描
通知开发
误报库匹配
安全代码开发规范
修复完成
自动代码验证
白盒测试
几个小问题
Tips 1: 根据不同公司的情况,建立自定义安全框架:
Tips 2: 误报率如何解决(误报库的建立,用体力换取精确);
Tips 3: 当扫描漏洞后,直接漏洞通知到开发,减少沟通成本:
Tips 4: 适时代码变更监控,自动缺陷验证:
Tips 5: 建立安全测试平台,将项目测试提交、漏洞管理等所有环节打通:
黑盒测试
黑盒自动化测试框架(图)
日志收集
数据存储
日志提取
漏洞扫描
缺陷管理
• 基于 TimeTunnel ,将所有服务器 apapche 等日志收集到 Hadoop 集群
• 基于 Hadoop ,离线存储 Apache、Nginx 日志
• 基于 HIVE,适时提取新增的日志,并存储至本地
• 基于 java 开发漏洞检测工具,适时对新增的产品进行Fuzzing
• 基于淘宝缺陷管理平台,当发现漏洞后自动通知开发,并实现自动验证。
黑盒测试
一此资料
日志收集
数据存储
日志提取
漏洞扫描
缺陷管理
• TimeTunnel ,http://code.taobao.org/p/TimeTunnel/src/
• Hadoop ,http://hadoop.apache.org/
• HIVE,http://hive.apache.org/
• 自己公司开发的定制化检测工具
• Bugzilla、BugFree 等,有集成消息通知更好。
黑盒测试
优点
缺点
发现蜘蛛、手工无法发现的API接口
无法扫描业务安全漏洞
支持未知产品监控
无法检测API一次性失效的接口
支持实时性扫描
无法检测逻辑引起的问题
节省人工成本
支持大量产品同时测试
结合测试环境,及早发现
黑盒测试
几个小问题
Tips 1: 如何解决身份验证的问题?:
Tips 2: 如何解决 post 数据的问题?;
Tips 3: 如何尽早解决漏洞遗漏到线上?:
Tips 4: 如何解决 Hosts 绑定的问题?:
自动化安全测试方法的期望
平台建设
黑盒扫描
白盒扫描
规则更新
缺陷管理
流程优化
• 集项目流程、缺陷管理于一体的管理平台
• 基于大数据、大产品的多维度自动测试工具
• 集不同语种的基于安全规范自动化代码检查
• 通过黑白组合映射关系,以及新型漏洞的更新
• 消息通知、状态提醒、角色控制
• 多维度优化操作流程,节省开发、安全人员介入成本
产品展示
Question
还有什么?
如何更自动,如何更安全。
解放繁重的工作,需要你我共同交流学习!