很多人都知道,在学校学的技术,初创公司的技术,外包公司的技术,自研公司的技术跟互联网大厂的技术有天壤之别,几乎所有在互联网这个圈子里的人都有一个“大厂梦”,因为进了大厂意味着更先进的技术,更高的薪资,更优秀的同事跟领导,更好的成长空间。甚至你只要是从大厂出来,以后找工作都要方便很多。
今天,我们就离大厂更近一点,共同学习阿里这份《阿里巴巴集团Web安全测试规范》
背景简介
为了规避安全风险、规范代码的安全开发,以及如何系统的进行安全性测试,目前缺少相应的理论和方法支撑。为此,我们制定《安全测试规范》,本规范可让测试人员针对常见安全漏洞或攻击方式,系统的对被测系统进行快速安全性测试。
适用读者
本规范的读者及使用对象主要为测试人员、开发人员等。
适用范围
本规范主要针对基于通用服务器的Web应用系统为例,其他系统也可以参考。如下图例说明了一种典型的基于通用服务器的Web应用系统:
本规范中的方法以攻击性测试为主。除了覆盖业界常见的Web安全测试方法以外,也借鉴了一些业界最佳安全实践。
安全测试在项目整体流程中所处的位置
一般建议在集成测试前根据产品实现架构及安全需求,完成安全性测试需求分析和测试设计,准备好安全测试用例。
在集成版本正式转测试后,即可进行安全测试。如果产品质量不稳定,前期功能性问题较多,则可适当推后安全测试执行。
Web安全测试方法
安全功能验证
功能验证是采用软件测试当中的黑盒测试方法,对涉及安全的软件功能,如:用户管理模块,权限管理模块,加密系统,认证系统等进行测试,主要验证上述功能是否有效,不存在安全漏洞,具体方法可使用黑盒测试方法。
漏洞扫描
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。
漏洞扫描技术是一类重要的网络安全技术。它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员能根据扫描的结果更正网络安全漏洞和系统中的错误设置,在黑客攻击前进行防范。如果说防火墙和网络监视系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,能有效避免黑客攻击行为,做到防患于未然。
Appscan工具介绍
Appscan扫描工具只能检测到部分常见的漏洞(如跨站脚本、SQL注入等),不是针对用户代码的,也就是说不能理解业务逻辑,无法对这些漏洞做进一步业务上的判断。往往最严重的安全问题并不是常见的漏洞,而是通过这些漏洞针对业务逻辑和应用的攻击。
Web目前分为“应用”和“Web服务”两部分。应用指通常意义上的Web应用,而Web 服务是一种面向服务的架构的技术,通过标准的Web协议(如HTTP、XML、SOAP、WSDL)提供服务。
AppScan工作原理
AppScan工作原理:
1、通过搜索(爬行)发现整个 Web 应用结构。
2、根据分析,发送修改的 HTTP Request 进行攻击尝试(扫描规则库)。
3、通过对于 Respond 的分析验证是否存在安全漏洞。
所以,AppScan 的核心是提供一个扫描规则库,然后利用自动化的“探索”技术得到众多的页面和页面参数,进而对这些页面和页面参数进行安全性测试。“扫描规则库”,“探索”,“测试”就构成了 AppScan 的核心三要素。
测试用例和规范标准
测试用例和规范标准可分为主动模式和被动模式两种。在被动模式中,测试人员尽可能地了解应用逻辑:比如用工具分析所有的HTTP请求及响应,以便测试人员掌握应用程序所有的接入点(包括HTTP头,参数,cookies等);在主动模式中,测试人员试图以黑客的身份来对应用及其系统、后台等进行渗透测试,其可能造成的影响主要是数据破坏、拒绝服务等。一般测试人员需要先熟悉目标系统,即被动模式下的测试,然后再开展进一步的分析,即主动模式下的测试。主动测试会与被测目标进行直接的数据交互,而被动测试不需要,参考以下示意图:
本规范所涉及的测试工具
安全工具的申请和使用请遵循公司信息安全相关规定。
工具名称
AppScan IBM Rational AppScan,在Web安全测试中所使用的自动化扫描工具
WebScarab Web Proxy软件,可以对浏览器与Web服务器之间的通信数据进行编辑修改
DirBuster 在Web安全测试中用来遍历目录、文件的工具
WSDigger Web service 安全测试工具
Jad Java class文件反编译软件
CAJAVA Java class文件反编译软件(兼容多个JDK版本)
Pangolin SQL注入测试工具
WireShark 网络协议抓包与分析工具
福利
需要这份《阿里巴巴集团Web安全测试规范》独家版的可以点击下面领取