很多人都知道����,在學(xué)校學(xué)的技術(shù)���,初創(chuàng)公司的技術(shù)��,外包公司的技術(shù),自研公司的技術(shù)跟互聯(lián)網(wǎng)大廠的技術(shù)有天壤之別�����,幾乎所有在互聯(lián)網(wǎng)這個(gè)圈子里的人都有一個(gè)“大廠夢(mèng)”�����,因?yàn)檫M(jìn)了大廠意味著更先進(jìn)的技術(shù)�����,更高的薪資,更優(yōu)秀的同事跟領(lǐng)導(dǎo),更好的成長(zhǎng)空間���。甚至你只要是從大廠出來(lái),以后找工作都要方便很多。
今天���,我們就離大廠更近一點(diǎn),共同學(xué)習(xí)阿里這份《阿里巴巴集團(tuán)Web安全測(cè)試規(guī)范》
《阿里巴巴集團(tuán)Web安全測(cè)試規(guī)范》
背景簡(jiǎn)介
為了規(guī)避安全風(fēng)險(xiǎn)�����、規(guī)范代碼的安全開(kāi)發(fā)�����,以及如何系統(tǒng)的進(jìn)行安全性測(cè)試����,目前缺少相應(yīng)的理論和方法支撐�。為此����,我們制定《安全測(cè)試規(guī)范》,本規(guī)范可讓測(cè)試人員針對(duì)常見(jiàn)安全漏洞或攻擊方式����,系統(tǒng)的對(duì)被測(cè)系統(tǒng)進(jìn)行快速安全性測(cè)試�����。
適用讀者
本規(guī)范的讀者及使用對(duì)象主要為測(cè)試人員、開(kāi)發(fā)人員等�。
適用范圍
本規(guī)范主要針對(duì)基于通用服務(wù)器的Web應(yīng)用系統(tǒng)為例�����,其他系統(tǒng)也可以參考。如下圖例說(shuō)明了一種典型的基于通用服務(wù)器的Web應(yīng)用系統(tǒng):
本規(guī)范中的方法以攻擊性測(cè)試為主��。除了覆蓋業(yè)界常見(jiàn)的Web安全測(cè)試方法以外����,也借鑒了一些業(yè)界最佳安全實(shí)踐。
安全測(cè)試在項(xiàng)目整體流程中所處的位置
一般建議在集成測(cè)試前根據(jù)產(chǎn)品實(shí)現(xiàn)架構(gòu)及安全需求��,完成安全性測(cè)試需求分析和測(cè)試設(shè)計(jì)�,準(zhǔn)備好安全測(cè)試用例。
在集成版本正式轉(zhuǎn)測(cè)試后�����,即可進(jìn)行安全測(cè)試���。如果產(chǎn)品質(zhì)量不穩(wěn)定�����,前期功能性問(wèn)題較多,則可適當(dāng)推后安全測(cè)試執(zhí)行。
Web安全測(cè)試方法
安全功能驗(yàn)證
功能驗(yàn)證是采用軟件測(cè)試當(dāng)中的黑盒測(cè)試方法,對(duì)涉及安全的軟件功能,如:用戶管理模塊����,權(quán)限管理模塊���,加密系統(tǒng)���,認(rèn)證系統(tǒng)等進(jìn)行測(cè)試�����,主要驗(yàn)證上述功能是否有效�,不存在安全漏洞����,具體方法可使用黑盒測(cè)試方法。
漏洞掃描
漏洞掃描是指基于漏洞數(shù)據(jù)庫(kù)�,通過(guò)掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)�,發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)(滲透攻擊)行為�。
漏洞掃描技術(shù)是一類(lèi)重要的網(wǎng)絡(luò)安全技術(shù)。它和防火墻�、入侵檢測(cè)系統(tǒng)互相配合��,能夠有效提高網(wǎng)絡(luò)的安全性。通過(guò)對(duì)網(wǎng)絡(luò)的掃描��,網(wǎng)絡(luò)管理員能了解網(wǎng)絡(luò)的安全設(shè)置和運(yùn)行的應(yīng)用服務(wù)��,及時(shí)發(fā)現(xiàn)安全漏洞�,客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)�����。網(wǎng)絡(luò)管理員能根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤設(shè)置,在黑客攻擊前進(jìn)行防范。如果說(shuō)防火墻和網(wǎng)絡(luò)監(jiān)視系統(tǒng)是被動(dòng)的防御手段���,那么安全掃描就是一種主動(dòng)的防范措施,能有效避免黑客攻擊行為,做到防患于未然。
Appscan工具介紹
Appscan掃描工具只能檢測(cè)到部分常見(jiàn)的漏洞(如跨站腳本���、SQL注入等),不是針對(duì)用戶代碼的,也就是說(shuō)不能理解業(yè)務(wù)邏輯���,無(wú)法對(duì)這些漏洞做進(jìn)一步業(yè)務(wù)上的判斷。往往最嚴(yán)重的安全問(wèn)題并不是常見(jiàn)的漏洞,而是通過(guò)這些漏洞針對(duì)業(yè)務(wù)邏輯和應(yīng)用的攻擊。
Web目前分為“應(yīng)用”和“Web服務(wù)”兩部分�����。應(yīng)用指通常意義上的Web應(yīng)用��,而Web 服務(wù)是一種面向服務(wù)的架構(gòu)的技術(shù)��,通過(guò)標(biāo)準(zhǔn)的Web協(xié)議(如HTTP、XML、SOAP����、WSDL)提供服務(wù)�����。
AppScan工作原理
AppScan工作原理:
1、通過(guò)搜索(爬行)發(fā)現(xiàn)整個(gè) Web 應(yīng)用結(jié)構(gòu)��。
2��、根據(jù)分析�,發(fā)送修改的 HTTP Request 進(jìn)行攻擊嘗試(掃描規(guī)則庫(kù))����。
3、通過(guò)對(duì)于 Respond 的分析驗(yàn)證是否存在安全漏洞。
所以,AppScan 的核心是提供一個(gè)掃描規(guī)則庫(kù),然后利用自動(dòng)化的“探索”技術(shù)得到眾多的頁(yè)面和頁(yè)面參數(shù)�����,進(jìn)而對(duì)這些頁(yè)面和頁(yè)面參數(shù)進(jìn)行安全性測(cè)試���?���!皰呙枰?guī)則庫(kù)”�����,“探索”����,“測(cè)試”就構(gòu)成了 AppScan 的核心三要素。
測(cè)試用例和規(guī)范標(biāo)準(zhǔn)
測(cè)試用例和規(guī)范標(biāo)準(zhǔn)可分為主動(dòng)模式和被動(dòng)模式兩種�。在被動(dòng)模式中����,測(cè)試人員盡可能地了解應(yīng)用邏輯:比如用工具分析所有的HTTP請(qǐng)求及響應(yīng)���,以便測(cè)試人員掌握應(yīng)用程序所有的接入點(diǎn)(包括HTTP頭����,參數(shù),cookies等);在主動(dòng)模式中,測(cè)試人員試圖以黑客的身份來(lái)對(duì)應(yīng)用及其系統(tǒng)�、后臺(tái)等進(jìn)行滲透測(cè)試��,其可能造成的影響主要是數(shù)據(jù)破壞、拒絕服務(wù)等。一般測(cè)試人員需要先熟悉目標(biāo)系統(tǒng)����,即被動(dòng)模式下的測(cè)試�,然后再開(kāi)展進(jìn)一步的分析�����,即主動(dòng)模式下的測(cè)試。主動(dòng)測(cè)試會(huì)與被測(cè)目標(biāo)進(jìn)行直接的數(shù)據(jù)交互�����,而被動(dòng)測(cè)試不需要���,參考以下示意圖:
本規(guī)范所涉及的測(cè)試工具
安全工具的申請(qǐng)和使用請(qǐng)遵循公司信息安全相關(guān)規(guī)定��。
工具名稱(chēng)
AppScan IBM Rational AppScan�,在Web安全測(cè)試中所使用的自動(dòng)化掃描工具
WebScarab Web Proxy軟件�����,可以對(duì)瀏覽器與Web服務(wù)器之間的通信數(shù)據(jù)進(jìn)行編輯修改
DirBuster 在Web安全測(cè)試中用來(lái)遍歷目錄�����、文件的工具
WSDigger Web service 安全測(cè)試工具
Jad Java class文件反編譯軟件
CAJAVA Java class文件反編譯軟件(兼容多個(gè)JDK版本)
Pangolin SQL注入測(cè)試工具
WireShark 網(wǎng)絡(luò)協(xié)議抓包與分析工具
福利
需要這份《阿里巴巴集團(tuán)Web安全測(cè)試規(guī)范》獨(dú)家版的可以點(diǎn)擊下面領(lǐng)取
《阿里巴巴集團(tuán)Web安全測(cè)試規(guī)范》
