Prueba de seguridad breve / herramienta de auditoría de seguridad

Others 2020-04-19 10:30:00 views: null

Prueba de seguridad breve / herramienta de auditoría de seguridad

La proporción de pruebas de seguridad es relativamente pequeña, generalmente en empresas profesionales o aplicaciones que manejan dinero,

Introducción a las pruebas de seguridad web

Concepto de
aplicación web ◆ La aplicación web se compone de scripts dinámicos, código compilado, etc.
◆ Por lo general, se configura en un servidor web y los usuarios envían solicitudes en un navegador web. Estas solicitudes utilizan el protocolo HTTP, y la aplicación web se comunica con la base de datos y otro contenido dinámico en el fondo de la empresa.

Arquitectura de aplicaciones web de tres niveles
Las pruebas de seguridad generales en la capa intermedia, especialmente la transmisión de la capa web a la capa de aplicaciones, son las más propensas a problemas de seguridad.
Inserte la descripción de la imagen aquí

comportamiento diario y seguridad de la red y se relacionan siempre-
◆ ¿Por qué nos registramos a menudo nos pida que introduzca un código de verificación?
evitarse, por medio de una secuencia de comandos a la fuerza bruta el nombre de usuario y una contraseña, un código de verificación después de todo no se puede saber de antemano.

◆ ¿Por qué falla la sesión cuando no hay una operación en un sitio web durante mucho tiempo? Es
una prueba posterior a la verificación. Teme que la computadora del programa del usuario sea atacada por piratas informáticos. Por lo tanto, cuando el usuario no haya operado durante un cierto período de tiempo, tendrá que abandonarla.

◆ ¿Por qué las interfaces de pago como Alipay son todas https?
Debido a que http está encriptado durante la transmisión, pero su sistema todavía es inseguro y aún necesita las pruebas de seguridad correspondientes.

Modelo de seguridad

Debido a que debido a la congestión, los pasajeros pueden ser empujadas bajo el metro o los otros llenos de metro, o estampida Metro para abrir para abrir varios estación de transformación metro: uno en dos de limitación de corriente (restringiendo el número de paradas en boxes y similares) prueba Corre para ver si hay demasiadas personas sentadas en la línea X
Piensa en:




Hablando de clasificación de vulnerabilidad de WASC y OWASP

WASC
◆ Consorcio de seguridad de aplicaciones web
◆ Es un grupo internacional (organización de bienestar público) compuesto por expertos en seguridad, consultores de la industria y representantes de muchas organizaciones. Son responsables de establecer estándares de seguridad de aplicaciones ampliamente aceptados para WWW. (Las normas de seguridad se han establecido para Internet actual)

◆ WASC divide las amenazas de seguridad de aplicaciones web en seis categorías:
◆ Autenticación (autenticación): un método de ataque utilizado para confirmar la identidad de un usuario, servicio o aplicación
(para la autenticación de inicio de sesión, como tres funciones principales: registrar inicio de sesión y olvidar contraseña)
La intercepción de SMS, la interceptación del código de verificación, etc. pueden evitar vulnerabilidades

◆ Autorización (Autorización): se utiliza para determinar si un usuario, servicio o aplicación tiene los permisos necesarios para realizar la acción solicitada
(principalmente correspondiente a la sesión, cookie, por lo tanto, preste atención al cifrado de la sesión, si es fácil ser interceptado durante el proceso de transmisión Grieta)

◆ Ataques del lado del cliente (ataques del lado del cliente): se utilizan para interrumpir o detectar ataques en los usuarios del sitio web
(por ejemplo, los vendedores de Taobao venden el corazón del océano al comprador, el precio es muy caro y luego el comprador a través del método de ataque del cliente Para omitir, modifique la cantidad correspondiente y pague con éxito, llamado ataque del cliente)

◆ Ejecución de comandos (Command Execution): un método de ataque para ejecutar comandos remotos en un sitio web
(dejando algunas vulnerabilidades que otros pueden encontrar en el sitio, puede comandarse de forma remota. También es fácil para otros perforar fugas)

◆ Divulgación de información (exposición de información): un método de ataque utilizado para obtener información específica del sistema del sitio web
(cuando la información del error se muestra demasiado detallada e incluso muestra el nombre de usuario de la base de datos, etc.)

◆ Ataques lógicos (ataques lógicos): métodos de ataque utilizados para interrumpir o detectar procesos lógicos de aplicaciones web
(no estrictamente ataques de seguridad, pero estas vulnerabilidades están estrechamente relacionadas con el negocio, pero algunas vulnerabilidades no pueden reflejarse en el negocio , Solo se puede analizar desde una perspectiva de seguridad)

OWASP es en realidad un proyecto
◆ Proyecto de seguridad de aplicaciones web abiertas
◆ Dedicado a descubrir y resolver la causa raíz de las aplicaciones web inseguras.

Contribución máxima: descubra y actualice las diez principales vulnerabilidades de seguridad en seguridad web cada año
Inserte la descripción de la imagen aquí

Proceso de prueba de seguridad WEB

Desmembrar la página, luego probarla y luego resumir
Inserte la descripción de la imagen aquí

El proyecto considera realizar primero pruebas funcionales, luego automatizar, luego seguridad y luego pruebas de rendimiento.
Motivo:
Las pruebas de seguridad implicarán muchas modificaciones de código, que a su vez afectarán los resultados de las pruebas de rendimiento.

Inserte la descripción de la imagen aquí
Las pruebas de seguridad también se dividen en pruebas manuales y automatizadas.

Herramienta de auditoría de seguridad

No se recomienda confiar demasiado en las herramientas de auditoría de seguridad: la
razón es
1. Dichas herramientas de diseño de seguridad encontrarán muchas vulnerabilidades, pero no puede conocer el significado de estas vulnerabilidades, ni puede reproducirlas, por lo que estos informes de auditoría dan resultados de informes de prueba y requieren que Use su propia tecnología para solucionar estas vulnerabilidades.
2. No es un verdadero método de prueba de seguridad, no puede permitirse aprender realmente las pruebas de seguridad y no puede mejorar sus habilidades.

Herramientas de auditoría automatizadas (cuando el tiempo es escaso)
Con el desarrollo y la profundización de las pruebas de seguridad, cada vez más empresas han comenzado a adoptar las pruebas de seguridad. Debido a factores como la capacidad y el tiempo de los probadores, más como AppScan, Herramientas de auditoría de seguridad como Weblnspect.

Ahorra tiempo, pero también trae muchos problemas (informes mal informados y perdidos, que pueden perderse en la gestión de la sesión del mecanismo de verificación, por lo que debe compensarlo manualmente)

Colaboración de AppScan en el equipo del proyecto

◆ Desarrolladores
** Los desarrolladores pueden usar AppScan o complementos especiales durante el proceso de desarrollo para desarrollar y probar en cualquier momento, y ** maximizar la seguridad de los programas de desarrollo personal. Cuanto antes se descubra el problema, menor será el costo de resolver el problema, lo que proporciona la garantía básica más sólida para la seguridad de las aplicaciones web.
◆ Probadores Durante las
pruebas del sistema, los probadores usan AppScan para probar exhaustivamente la aplicación . Una vez que se encuentran los problemas, los defectos se pueden generar rápidamente. A través de la integración de CQ, los defectos se pueden rastrear electrónicamente y luego pasar a los desarrolladores para guiarlos a resolverlos rápidamente. . (La prueba es analizar cuáles son las vulnerabilidades de seguridad y luego darlas a los desarrolladores)
** ◆ Auditor
Este es el nivel de calidad de seguridad antes de que el sistema se conecte. ** Cualquier sistema que se conecte debe pasar por pruebas estrictas en línea, lo que también minimiza la aparición de problemas después de conectarse y evita grandes pérdidas para la empresa una vez que el sistema de producción se conecta.
◆ Auditar y monitorear al personal después de
conectarse El sistema en línea debe probarse regularmente. Una vez que ocurre un problema, debe detectarse a tiempo. Cuanto más rápido se localice el problema, menor será la pérdida.

El alcance principal del escaneo es: servidor web, base de datos, aplicación
Inserte la descripción de la imagen aquí

Principio de escaneo

Inserte la descripción de la imagen aquí
Fase de detección:(Similar a hacer una selección de estrategia, equivalente a un plan de prueba) Durante el
proceso de detección, la estrategia de prueba utilizada se puede seleccionar de forma predeterminada o personalizada, y se pueden usar diferentes estrategias de prueba. La biblioteca de estrategias de prueba se construye en Appscan, que se puede definir Para la combinación que desea, para detectar los posibles riesgos de seguridad que más desea detectar.
(Equivalente a la información del sitio del sitio web de prueba. Obtenga el enlace que queremos probar)

◆ Imite a un usuario para sondear la aplicación web visitada o el sitio de servicio web, y envíe o solicite visitar o completar los enlaces y campos de formulario en el sitio para obtener la información correspondiente del sitio (Árbol de aplicaciones)
◆ El analizador Appscan juzgará la respuesta después de cada solicitud enviada por sí misma, descubrirá los riesgos potenciales y determinará los casos de prueba que se generarán automáticamente para estos riesgos potenciales .
◆ Una vez completada la fase de detección, si estas áreas de alto riesgo realmente implican defectos de seguridad o deberían mejorarse mejor, y cuál es el nivel de estos riesgos ocultos, es solo después de que se completa la ejecución de la prueba que finalmente se puede obtener Conclusión

Fase de prueba: (Correspondiente a la redacción de casos de prueba)
◆ Después de la fase de detección, Appscan ha analizado el modelo de sitio de posibles riesgos de seguridad.
◆ AppScan también sabe cuántos casos de prueba deben generarse para detectar posibles riesgos de seguridad en estas áreas. El trabajo en este momento es principalmente generar estos casos de prueba planificados.
Appscan debe generar la entrada de prueba completa y compleja correspondiente a través de las reglas de detección de los riesgos de seguridad correspondientes en la biblioteca de estrategias de prueba.

Etapa de escaneo:(Correspondiente a la fase de ejecución de la prueba)
◆ Una fase de exploración, el verdadero trabajo Appscan, él continuará enviando la solicitud de servicio en la fase de la prueba generada a cabo
◆ entonces el resultado de la detección de los análisis y los servicios en respuesta a determinar que el Si la entrada del caso de prueba ha causado peligros o problemas ocultos.
◆ Luego, a través de la estrategia de generación de casos de prueba, descubra la descripción del problema de seguridad y la solución del problema, y ​​también informe el envío de la solicitud y los resultados de respuesta de los parámetros relevantes.

Proceso de operación

Inserte la descripción de la imagen aquí

Inserte la descripción de la imagen aquíInserte la descripción de la imagen aquí
Inserte la descripción de la imagen aquíInserte la descripción de la imagen aquíInserte la descripción de la imagen aquí
Inserte la descripción de la imagen aquí
Los probadores de seguridad no solo tienen que encontrar vulnerabilidades, sino que también deben saber cómo resolver las vulnerabilidades, para guiar a los desarrolladores a resolver las vulnerabilidades.

Sol Li Chengcheng
Publicado 82 artículos originales · ganado elogios 7 · vistas 4168
carta privada preocupaciones

Supongo que te gusta

Origin blog.csdn.net/sunshine612/article/details/105453124
Recomendado
Clasificación
Diario
Más
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)
2024-04-30(33)
2024-04-29(5)
2024-04-28(9)
2024-04-27(28)

Code World

© 2018 codetd.com