Transcript 大型互联网自动化安全测试

大型互联网自动化安全测试
Large-scale Internet Automated Security Testing
woyigui
Weibo.com：@淘宝王挺
工作：淘宝
自动化安全测试的目标和价值
需要做到如下几点：
降低线
上漏洞
提高效率
降低人员
投入成本
传统安全测试的方法？
依靠工具手工测试？
蜘蛛式扫描方式？
关键字式的静态扫描？
自动化安全测试方法
白盒自动化
黑盒自动化
优缺点&期望
白盒测试
如何实现白盒自动化
扫描修复 7 步走
Tips:当你把安全框架、规范、缺陷与开发流程打通，就降低了沟通成本：
安全框架
基于安全框架规则扫描
通知开发
误报库匹配
安全代码开发规范
修复完成
自动代码验证
白盒测试
几个小问题
Tips 1: 根据不同公司的情况，建立自定义安全框架：
Tips 2: 误报率如何解决（误报库的建立，用体力换取精确）；
Tips 3: 当扫描漏洞后，直接漏洞通知到开发，减少沟通成本：
Tips 4: 适时代码变更监控，自动缺陷验证：
Tips 5: 建立安全测试平台，将项目测试提交、漏洞管理等所有环节打通：
黑盒测试
黑盒自动化测试框架（图）
日志收集
数据存储
日志提取
漏洞扫描
缺陷管理
• 基于 TimeTunnel ，将所有服务器 apapche 等日志收集到 Hadoop 集群
• 基于 Hadoop ，离线存储 Apache、Nginx 日志
• 基于 HIVE，适时提取新增的日志，并存储至本地
• 基于 java 开发漏洞检测工具，适时对新增的产品进行Fuzzing
• 基于淘宝缺陷管理平台，当发现漏洞后自动通知开发，并实现自动验证。
黑盒测试
一此资料
日志收集
数据存储
日志提取
漏洞扫描
缺陷管理
• TimeTunnel ，http://code.taobao.org/p/TimeTunnel/src/
• Hadoop ，http://hadoop.apache.org/
• HIVE，http://hive.apache.org/
• 自己公司开发的定制化检测工具
• Bugzilla、BugFree 等，有集成消息通知更好。
黑盒测试
优点
缺点
发现蜘蛛、手工无法发现的API接口
无法扫描业务安全漏洞
支持未知产品监控
无法检测API一次性失效的接口
支持实时性扫描
无法检测逻辑引起的问题
节省人工成本
支持大量产品同时测试
结合测试环境，及早发现
黑盒测试
几个小问题
Tips 1: 如何解决身份验证的问题？：
Tips 2: 如何解决 post 数据的问题？；
Tips 3: 如何尽早解决漏洞遗漏到线上？：
Tips 4: 如何解决 Hosts 绑定的问题？：
自动化安全测试方法的期望
平台建设
黑盒扫描
白盒扫描
规则更新
缺陷管理
流程优化
• 集项目流程、缺陷管理于一体的管理平台
• 基于大数据、大产品的多维度自动测试工具
• 集不同语种的基于安全规范自动化代码检查
• 通过黑白组合映射关系，以及新型漏洞的更新
• 消息通知、状态提醒、角色控制
• 多维度优化操作流程，节省开发、安全人员介入成本
产品展示
Question
还有什么？
如何更自动，如何更安全。
解放繁重的工作，需要你我共同交流学习！