《业务漏洞挖掘案例与思考分享.pdf》由会员分享,可在线阅读,更多相关《业务漏洞挖掘案例与思考分享.pdf(17页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、业务漏洞挖掘案例与思考分享现状0101 现状分类常规常规 注入、XSS、XXE、CSRF、SSRF、文件包含、命令执行、URL重定向、点击劫持等其他其他 网络层漏洞、系统层漏洞、组件套件中间件漏洞等业务业务 登录认证、业务办理、业务数据、业务流程逻辑、业务授权访问、业务接口调用、验证码、输入输出、回退、密码找回、密码重置、实名认证、设置个人信息、绑定银行卡、红包优惠券、订单CURD、充值、支付、提现.01 现状不同0101040402020303漏洞成因漏洞成因复杂度复杂度场景流场景流程变化程变化多端多端通用性通用性风险点风险点隐蔽隐蔽不 同不 同01 现状为什么业务安全越来越受重视?业务安全
2、业务安全越来越被重视越来越被重视风险0202 风险怎么做0303 怎么做1 1、缺乏成熟的标、缺乏成熟的标准、工具、服务准、工具、服务2 2、信息不对称、信息不对称3 3、外部力量有限、外部力量有限4 4、各种难:、各种难:难以接触业务环境难以接触业务环境难以触发业务场景难以触发业务场景难以理解业务原理和难以理解业务原理和风险风险.03 怎么做企业不同时期业务与安全的关系前期前期中期中期后期后期1 1、以业务需求为主,注重功能实、以业务需求为主,注重功能实现现2 2、业务方安全意识薄弱、业务方安全意识薄弱3 3、基础安全为主,不够重视业务、基础安全为主,不够重视业务安全安全4 4、风险未集中暴
3、露,不能有效止、风险未集中暴露,不能有效止损损5 5、事前缺乏安全评审与安全测试事前缺乏安全评审与安全测试6 6、事中缺乏安全监控与风控运营事中缺乏安全监控与风控运营7 7、事后缺乏支持难以溯源事后缺乏支持难以溯源缺乏必要的安全评估与测试缺乏必要的安全评估与测试只对主要业务进行渗透测试、代码只对主要业务进行渗透测试、代码审计审计被动事后响应被动事后响应基于漏洞类型的自动化扫描检测,基于漏洞类型的自动化扫描检测,辅以人工测试(传统类型的漏洞为辅以人工测试(传统类型的漏洞为主)主)1 1、除功能、性能、稳定性,安全、除功能、性能、稳定性,安全成为业务的一个属性成为业务的一个属性2 2、业务方安全意
4、识提高、业务方安全意识提高3 3、业务安全基础建设、业务安全、业务安全基础建设、业务安全价值体现,安全话语权提高价值体现,安全话语权提高4 4、风险集中暴露,事件经验、风险集中暴露,事件经验迅速迅速积累积累5 5、防护监控设备防护监控设备6 6、网络层,系统层,组件套件层网络层,系统层,组件套件层漏洞难以利用漏洞难以利用7 7、攻击者目标更多转向业务逻辑攻击者目标更多转向业务逻辑层层切入到业务需求评审、切入到业务需求评审、 业务设计业务设计基于业务场景的安全测试,以业务基于业务场景的安全测试,以业务场景、流程为重心,人工测试主导场景、流程为重心,人工测试主导+ +自动化漏洞发现自动化漏洞发现深
5、入了解业务特点和安全需求,根深入了解业务特点和安全需求,根据业务系统架构,从前据业务系统架构,从前/ /后视角、后视角、业务视角与支撑系统视角划分测试业务视角与支撑系统视角划分测试对象,结合所有信息获取和评估手对象,结合所有信息获取和评估手段控制风险。段控制风险。1 1、业务安全标准化作业、业务安全标准化作业2 2、业务安全决策影响、业务安全决策影响3 3、业务安全咨询,支持创新业务、业务安全咨询,支持创新业务发展发展4 4、基于业务安全体系建设,保障、基于业务安全体系建设,保障业务持续增长,从止损思维到盈利业务持续增长,从止损思维到盈利思维转化思维转化5 5、业务安全能力对外输出、业务安全能
6、力对外输出03 怎么做重视业务漏洞+ 较为完善的漏洞发现能力020203030404050506060101线上业务被动扫描SDL阶段黑白盒扫描安全巡检 SRC等外部反馈以业务场景流程为重心,人工挖掘漏洞风控运营03 怎么做不同的业务场景业务场景业务场景不同行业业务场景有所不同不同行业业务场景有所不同安全评审安全评审高风险业务场景识别高风险业务场景识别相同行业,业务场景也不是相同行业,业务场景也不是一成不变一成不变03 怎么做安全测试人员需要哪些能力03 怎么做真正理解业务01020304体会&经验&思考0404体会&经验&思考安全安全产品产品程序员程序员“天敌天敌” 01安全意识安全意识培训培训 02 03 04安全开发安全开发红线红线安全编码安全编码规范规范协助解决协助解决问题问题04体会&经验&思考