自动化威胁利用场景下的金融业务安全浅析

全方位提高软件安全性

About Me• SecZone CSO /OWASP中国安全区域负责人

• 夏天泽，SecZone-CSO，中国科学技术大学信息安全专业硕士，CISP, CWASP L2认证专家，CWASP CSSP 讲师，从事信息安全工作近十年。曾任惠普公司高级安全顾问、思科系统中国研发中心高级安全架构师，为思科安全团队核心成员。经历包含Web安全、Client安全、Mobile安全、SecDevOps等方面。对软件安全开发流程、安全架构、渗透测试、安全事件处理、第三方软件安全管理及安全运维有深入研究和丰富经验。

• 同时，夏天泽是全球顶级安全组织OWASP及OWASP中国分部的会员，现任OWASP中国安徽地区负责人。联合创立了OWASP S-SDLC全球项目，是该项目的核心负责人之一；并先后参与了OWASP中国分部组织的“OWASP CheatSheet”项目和“OWASP Top 10 2017”项目。

All high and medium vulnerabilities

eliminated, OWASP Top 10 covered and the S-SDLC ticking

along nicely.

You need to buy our “DoesItAll”

product as a service offering

for that.

Wait! My Ops team is battling against attacks

all the time.

Information Security Operations Vendor Sales Rep

Why? – Problem Definition

WHAT – THE PROJECTOWASP Automated Threats to Web Applications

Good Bots, Bad Bots• Good Bots

– Search engine crawlers– API access– Health checks

• Bad Bots– OATs!

GOOD AUTOMATION

DevOps Lead

• Continuous application security

• Automated static analysis

• Security testing automation

• Vulnerability scanning

• Application instrumentation

• Attack detection & automated response

• AppSec dashboards

• Threat indicator sharing

• etc.

BAD AUTOMATION

Malicious Automation

• Account enumeration

• Aggregation

• Click fraud

• Comment spam

• Content scraping

• etc.

BAD AUTOMATION

Malicious Automation

• EXAMPLE

SCOPE

• Threat events to web applications undertaken using automated actions

• Abuse of functionality - misuse of inherent functionality and related design flaws, some of which are also referred to as business logic flaws

• No coverage of implementation bugs

• All the threats must require the web to exist for the threat to be materialised; thus attacks that can be achieved without the web are out of scope.

Malicious Automation

对策分类 SDLC阶段 对策类型

关键词 描述 构建 防御 预防

检测

恢复

值 禁止或限制应用程序访问资产，可以降低自动攻击带来的风险，包括确认数据和/或功能是否必要，是否可以被攻击者篡改。 Y Y

要求 在安全风险评估时识别自动攻击威胁，并评估对策对功能可用性和可访问性的影响，进而确定应用开发和部署的要求。 Y Y Y Y Y

测试 创建模拟自动化攻击的误用滥用的测试用例。 Y Y流量 创建足够大的访问带宽流量，当使得允许和潜在的自动化使用攻击发生时，不影响正常的使用/性能。 Y Y Y Y

混淆通过动态改变URL、字段名和内容、限制访问索引数据、或添加额外标头/范围，或转换数据为图片、或添加页

和会话特定标识来防御自动化攻击。对策还包括减少数据泄露、对功能进行整合让应用程序不被外部访问、伪装或通过其他方式混淆，让自动化工具无法理解或映射程序及功能。

Y Y Y

鉴定考虑使用自动化攻击识别技术来区别和限制自动化访问案例。利用用户代理和/或HTTP请求（例如http头排序）、

http头异常（例如http协议、标头不一致）、设备指纹来确认用户是否是人类。 Y Y Y Y Y

信用

考虑通过信用数据库方法来识别和限制自动使用。通过分析用户身份（例如浏览器指纹、设备指纹、用户名、会话、IP地址/范围/地址位置），或用户行为（例如之前访问的站点、访问点、访问时间、请求率、新会话产生的数量、访问的路径），或访问资源的类型（例如静态或动态、隐藏的链接、robots.txt 文件、robots.txt 文件外的路径、蜜罐中的资源、缓存资源）、不能访问的资源（如js生成的链接）、或重复访问的资源类型。像指纹一样，信用数据库方法可以用于确认用户是否为人类,包括使用欺诈检测系统、第三方拒绝/阻止列表、信用和检查服务。

Y Y Y Y

认证使用访问控制列表、要求用户进行认证，或二次认证、生物识别，或要求加强型的认证方法包括邮箱认证、拼图

/验证码、复杂密码和时效要求、强验证、双因素认证、在操作/查询时再次验证、不允许账号并发访问、避免基于单因素密码的身份访问，不使用SSO（single sign on，单点登录），并且不支持虚拟货币。

Y Y Y

限速设置访问上限/下限/趋阈值，限制每个/组用户，每个IP/IP范围，每个设备ID/指纹等使用的数量和速率。限制每

个交易事件的值，还包括使用排队系统、用户优先级功能和资产分配随机化。 Y Y Y Y

监测 对错误、异常、功能使用/排序进行监测，提供告警和监视仪表板。通过自动化监控系统监控用户生成的内容。 Y Y Y

方法在应用程序内构建观测工具实时执行攻击检测和OWASP AppSensor中定义的自动化攻击，应用程序应和其他

系统组件（如网关、网络防火墙或应用防火墙）对已经识别的自动攻击作出响应。响应可以包括增加监控、锁定用户、阻止/延迟/改变操作、改变流量/能力、增强身份认证、CAPTCHA验证码、设置禁区等等。

Y Y Y Y Y

合同 通过合同、条款、指引、要求的方式约束用户不可以使用自动化方式对应用进行攻击。了解合同限制对应用其他方面的影响（比如服务级别、金融信用）。 Y Y

响应 对各种自动化攻击场景定义应急处理操作，一旦检测到攻击，使用实际数据来反馈对策（比如需求、测试、监控）。 Y Y

分享 与同行、贸易组织、国家CERTs分享自动化攻击的信息，例如IP地址、已经的违规设备指纹。 Y Y

应用安全解决什么？

非传统安全

• 社会工程学

• 欺诈

• 钓鱼

• 物理安全

极不可控

信息安全

有限可控

• 网络路由交换

• 终端设备

• 系统及服务

• 第三方软件

IT资产安全

• 网络路由交

换

• 系统及服务

• 第三方软件

网络基础架构安全

• 自研软件安

全

• 第三方安全

依赖

应用安全

选择可控 自主可控

人身安全 环境安全

• 恐怖袭击

• 突发战争

传统安全 生活安全

• 食品安全

• 交通安全

身体安全

• 健康饮食

• 规律作息

• 适当运动

• 空气质量

• 地震

安全开发现状

0

50

100

设计 实现 确认 运维

修复缺陷的相对成本 1 6.5 15 100

IBM System Science Institute

事件响应

渗透测试架构审核

需求 设计 实现 确认 部署、运维

安全开发过程 基于安全功能的单元测试

安全测试渗透测试 渗透测试

部署\运维

测试开发设计需求

识别安全需求导出安全需求

融入安全设计导出安全开发

实现安全设计导出测试用例执行安全测试

渗透测试 红队渗透

部署\运维

测试开发设计需求

传统的

安全开发过程

S-SDLC

需求

风险评估模板

风险评估

设计

威胁库设计审核模板

设计审核威胁建模

攻击面分析

开发

公共安全组件静态分析工具

（SAST）

安全开发代码审核

MOP

确认

动态分析工具（DAST, IAST）

第三方渗透测试

安全测试渗透测试MOP确认

部署、运维

安全基线

扫描、监控、管理

具（RASP）

MOP实施安全加固补丁管理漏洞管理

安全事件响应

全景图

Another OWASP Project

Protection Measures

• Concepts of intrusion detection and prevention

• Attack determination • Real-time response • Attack blocking.

• Does not detect software weaknesses or vulnerabilities. Instead it is used to detect users trying to find vulnerabilities.

ConceptualElements

Detectionpoints

ResponseactionsThresholds

Detection• Suspicious or an attack?

– Is it impossible for the event to occur as the result of a typographic error, or a copy & paste mistake, or an inadvertent key press by the user?

– Does the user have to leave the normal flow of the application to perform the activity?

– Are additional software tools or special knowledge needed to perform the identified activity?

Detection-cont’d• Detection points are instrumentation sensors, normally

embedded directly within the application code.

Detection-cont’d• Authorization failures (e.g. resource or action requested with insufficient

privileges) • Client-side input validation bypass (e.g. data format mismatch or missing

mandatory values) • Whitelist input validation failures (e.g. invalid data type or data

length/range) • Authentication failures (e.g. password change failures, re-authentication

failure) • Blatant code injection attack (e.g. common SQL injection strings) • High rate of function use (e.g. requests/pages/views/windows per 5

minutes).

Thresholds andResponse

If any 3 detection points are activated in 24 hours, create a support event ticket and send an email alert to operations team

If any 6 detection point are activated in 4 hours, log the user out and lock the account for 2 hours

CASE STUDY

CASE STUDY -cont’d

26

工具1 – Snake&Ladder

工具2 - ASVS开发者可用来做指导

安全人员可以用来检查

外包作为验收标准

工具3 - CornucopiasGamification

https://www.youtube.com/watch?v=i5Y0akWj31k

6 suites * 13 cards• Data validation and encoding• Authentication• Session management• Authorization• Cryptography• Cornucopia

OWASP SCP/ASVS/Testing guide

工具4 - OWASP DependencyCollect all dependencies Identify CPE

Search vulnerabilities from NVD

CVE Report

工具5 - OWASP Defect Dojo

Missing pieces

• No options for SAST or IAST• A dashboard to track everything

(requirements management, activities, releases, metrics)

33

未来

公 司 简 介 ABOUT US

创新融合开拓

SecZone成立于2013年5月，是国内软件安全行业创领者和领先的软件安全开发生命周期（S-SDLC）解决方案提供商，专注于软件安全领域的技术研究。SecZone团队由来自思科、微软、惠普、Google、华为等行业顶级的安全专家组成，团队成员从业经验均为10年以上。SecZone总部在深圳，同时在北京、广州、武汉、合肥、成都、南宁设有分支机构。

SecZone将持续聚焦软件安全领域，努力成为全球软件安全领域极具竞争力的领导品牌。

SecZone

SecZone始终以自主创新为发展源动力，以S-SDLC解决方案为核心，以S-SDLC平台为载体，向不同行业的客户提供覆盖软件开发全生命周期的软件安全开发咨询和落地服务，包括但不限于安全开发培训、安全需求识别、安全架构设计、安全代码实现、安全确认、安全审核及安全运营的完整业务生态，同时提供配套的工具链支持。帮助客户提升软件安全开发能力，构建安全可靠的软件产品。

SecZone

SecZone优势

VULHUNTER自动化灰盒安全测试工具

36

VulHunter产品——VulHunter简介

• VulHunter是国内首款自主知识产品的新一代代码审计、安全测试和第三方软件检测产品

• 由国内领先的软件安全开发生命周期（S-SDLC）解决方案提供商SecZone研发，拥有自主知识产权

• 在开发和测试阶段均可以无缝集成，“零成本”实现代码审计、安全测试和第三方软件检测

代码审计第三方软件检测

安全测试

技术比较 SecZone VulHunter SAST DAST开发流程集成度 无缝集成开发和测试阶段，零成本完

成安全测试 开发阶段，成本较高 测试阶段，成本较高

误报率 较低 较高 最低

测试覆盖度 高，受功能测试覆盖度保障 高 低

检测速度 准实时，和应用程序复杂度无关非实时，和应用程序复杂度相关，随代码量增加呈指数增长

非实时，和应用程序复杂度相关，程序越复杂，测试用例越多，速度越慢

支持检测的漏洞类型 最多 部分 部分

第三方软件及其漏洞检测 完全支持 有限支持 非常有限

漏洞信息丰富程度 动态数据流+请求和响应信息+配置文件+… 只有静态数据流 只有请求和响应信息

“脏”数据影响 无 无 有

多项目并发 完全支持，可以同时对100+个应用进行检测

非常有限，通常一个扫描引擎只能同时扫描一个应用

非常有限，扫描器较为耗费资源

部署和使用 非常简单 复杂 复杂

注入相关：• xxe• cmd-injection• ldap-injection• log-injection• reflected-xss• stored-xss• Java reflection-injection• hql-injection• sql-injection• Nosql-injection• xpath-injection• header-injection……

hardcode相关：• hardcoded-key• hardcoded-password

不安全的跳转：• unvalidated-forward• unvalidated-redirect

第三方库：• 第三方库基本信息统计• 第三方库CVE漏洞• 第三方库使用情况

其他：• clickjacking-control-missing• parameter-pollution• autocomplete-missing• insecure-jsp-access• verb-tampering• path-traversal• trust-boundary-violation• unsafe-readline• insecure-socket-factory• untrusted-deserialization• Csrf• Ssrf• insecure-auth-protocol……

Cookie & Session & Cache：• cookie-flags-missing• Httponly• session-timeout• session-rewriting• cache-controls-missing……

安全http header相关：• hsts-header-missing• xcontenttype-header-missing• csp-header-missing• csp-header-insecure……

不安全的算法：• 不安全的加密算法• 不安全的hash算法• 不安全的随机数算法

敏感信息泄露：• exception 信息泄露• web server 版本泄露• 敏感信息经过log泄露• 敏感信息通过query string传输• ……

VulHunter产品——VulHunter简介

VulHunter支持以下漏洞类型的检测

VulHunter产品——VulHunter简介

VulHunter在OWASP Benchmark上的检测结果

• True Positive – TP 检出率

Tool correctly identifies a real vulnerability

• False Negative – FN 漏报率

Tool fails to identify a real vulnerability

• True Negative – TN

Tool correctly ignores a false alarm

• False Positive – FP 误报率

Tool fails to ignore a false alarm

• True Positive Rate - TPR

TP / ( TP + FN )

• False Positive Rate – FPR

FP / ( FP + TN )

免费开源的项目，包含了内置的 个安全漏洞的测试套件

2,740

OWASP Benchmark

Information Security Operations Vendor Sales Rep

Conclusion

We are seeing a growth in OAT-020

Account Aggregation, as defined in the

OWASP Automated Threat Handbook

We have a new cloud service that

complements your own mitigations

for OAT-020

Yes, marketing has some data

about customer

disengagement that supports

this

Let’s update the risk assessment, after

reviewing our threat event detection

capabilities and possible additional mitigations based on the OWASP

Automated Threat Handbook

We can raise OAT-020 at the next Cyber Intelligence Sharing

Group

What new products

or services might help?

谢 谢THANK YOU

WeChat：skyzenith