Embed Size (px)
DESCRIPTION
大型互联网自动化安全测试. Large-scale Internet Automated Security Testing. woyigui Weibo.com : @ 淘宝王挺 工作:淘宝. 自动化安全 测试的目标 和 价值. 需要做到如下几点:. 降低线 上漏洞. 降低人员投入成本. 提高效率. 传统安全测试的方法?. 依靠工具手工测试?. 蜘蛛式扫描方式?. 关键字式的静态扫描?. 自动化安全测试方法. 白盒自动化. 黑盒自动化. 优缺点 & 期望. 白盒测试. 如何实现白盒自动化. 扫描修复 7 步走. - PowerPoint PPT Presentation
Citation preview
Large-scale Internet Automated Security Testing
大型互联网自动化安全测试woyigui
Weibo.com : @ 淘宝王挺工作:淘宝
需要做到如下几点:
降低线上漏洞
提高效率 降低人员投入成本
自动化安全测试的目标和价值
依靠工具手工测试? 关键字式的静态扫描?
传统安全测试的方法?
蜘蛛式扫描方式?
优缺点 & 期望
自动化安全测试方法
白盒自动化 黑盒自动化
如何实现白盒自动化扫描修复 7 步走
白盒测试
Tips: 当你把安全框架、规范、缺陷与开发流程打通,就降低了沟通成本:
安全框架
安全代码开发规范
误报库匹配
基于安全框架规则扫描
修复完成
通知开发
自动代码验证
几个小问题白盒测试
Tips 2: 误报率如何解决(误报库的建立,用体力换取精确);
Tips 1: 根据不同公司的情况,建立自定义安全框架:
Tips 5: 建立安全测试平台,将项目测试提交、漏洞管理等所有环节打通:
Tips 4: 适时代码变更监控,自动缺陷验证:
Tips 3: 当扫描漏洞后,直接漏洞通知到开发,减少沟通成本:
黑盒自动化测试框架(图)黑盒测试
日志收集
• 基于 TimeTunnel ,将所有服务器 apapche 等日志收集到 Hadoop 集群
数据存储
• 基于 Hadoop ,离线存储 Apache 、 Nginx 日志
日志提取
• 基于 HIVE ,适时提取新增的日志,并存储至本地
漏洞扫描
• 基于 java 开发漏洞检测工具,适时对新增的产品进行 Fuzzing
缺陷管理
• 基于淘宝缺陷管理平台,当发现漏洞后自动通知开发,并实现自动验证。
一此资料黑盒测试
日志收集
• TimeTunnel , http://code.taobao.org/p/TimeTunnel/src/
数据存储
• Hadoop , http://hadoop.apache.org/
日志提取
• HIVE , http://hive.apache.org/
漏洞扫描
• 自己公司开发的定制化检测工具
缺陷管理
• Bugzilla 、 BugFree 等,有集成消息通知更好。
黑盒测试
优点
发现蜘蛛、手工无法发现的 API 接口
支持未知产品监控
支持实时性扫描
节省人工成本
支持大量产品同时测试
结合测试环境,及早发现
缺点
无法扫描业务安全漏洞
无法检测 API 一次性失效的接口
无法检测逻辑引起的问题
几个小问题黑盒测试
Tips 2: 如何解决 post 数据的问题?;
Tips 1: 如何解决身份验证的问题?:
Tips 4: 如何解决 Hosts 绑定的问题?:
Tips 3: 如何尽早解决漏洞遗漏到线上?:
自动化安全测试方法的期望
黑盒扫描
白盒扫描
规则更新
缺陷管理
流程优化
平台建设
平台建设
• 集项目流程、缺陷管理于一体的管理平台
黑盒扫描
• 基于大数据、大产品的多维度自动测试工具
白盒扫描
• 集不同语种的基于安全规范自动化代码检查
规则更新
• 通过黑白组合映射关系,以及新型漏洞的更新
缺陷管理
• 消息通知、状态提醒、角色控制
流程优化
• 多维度优化操作流程,节省开发、安全人员介入成本
产品展示
如何更自动,如何更安全。解放繁重的工作,需要你我共同交流学习!
还有什么?Question
