網際網路企業低成本一體化安全測試之道

1、    安全測試介紹 

    a)    安全測試現狀 

應用安全形勢日益嚴峻，新型黑客攻擊手段層出不窮，使用者對于隐私資訊保護等安全要求越來越高。在創新網站、移動産品競争激烈的今天，投資者與創業者更關心産品何時釋出，如何占得先機擷取更大的收益。為了保證産品盡快釋出，盡可能減少人力成本和時間成本，進而将安全這個重要一環的工作放在了被攻擊後的時機去解決。 

是以，在當今的網際網路産品中，大量的産品存在嚴重的安全風險，給黑客開啟了衆多可攻擊的途徑，輕松擷取公司、使用者敏感資訊，引發網絡輿論對公司産品千萬嚴重的安全信譽影響。 

而安全測試工作恰恰是解決在産品釋出前的重要安全防禦的一環，安全測試工作做好了，可以有效杜絕産品上的大部分安全漏洞，為企業聲譽、使用者隐私使用者提供有力的安全保障。 

   b)    安全測試體系介紹 

如何做好安全測試工作是門學問，不同公司、産品、業務擁有千奇百怪的功能和場景，需要在開發過程中的每一個環節進行深入，盡可能越早的發現安全漏洞對于成本控制來講越是最低。 

安全測試體系簡單來說可以依托、介入開發過程來實作： 

        當然，以上所描述的安全測試工作需要遵循幾個原則： 

發現問題：讓發現漏洞變的自動化（工具）

解決問題：讓修複漏洞變的人性化（流程）

檢測能力：讓漏洞盡可能的檢測到（覆寫率）

     c)    安全測試工作開展情況 

如安全測試體系中介紹，安全測試工作涉及多項流程和工具，一般企業、創業公司無法在每一個環節中切入去保證安全品質，也沒有專業和安全人員去把控。是以，一般常見的處理方式是： 

安全自測：購買或使用破解的安全軟體對自身的産品做掃描。

優點：成本低廉

缺點：使用者不專者，效果不好

安全外包：将安全交由專業的安全公司做滲透測試和安全測試。

優點：可靠，全面

缺點：費用較高，單次服務

衆測模式：釋出測試任務，由白帽子參與評測，回報漏洞資訊。

優點：公測，測試人員多，手段豐富

缺點：新模式，安全結果取決于參與者能力

2、    安全測試常見測試手段剖析 

接下來描述幾下常見的安全測試方法和手段，以及優缺點，友善大家參考： 

   a)    黑盒檢測： 

通常方式是擷取資料( url、表單、ajax 等相關請求)，使用漏洞規則對其進行模糊測試，發現漏洞。 

i.    手工：通過安全經驗，借助于浏覽器插件、抓包、fuzzing 工具對産品進行測試。 

常用工具：firefox 插件：firebug、hackbar、httpfox、tamper data、fiddler ,sqlmap、nmap等

優缺點：更細節，但成本高。

ii.    代理攔截：将浏覽器設定代理，擷取浏覽資料，自動 fuzzing。 

常用工具：burp suite、owasp zap、ratproxy 等

優缺點：業務流程綁定，覆寫更合，手工在頁面點選，人工成本高

iii.    蜘蛛爬蟲： 

常用工具：wvs、appscan等

優缺點：自動化掃描，部分商業産品，收費高，上手困難，占用本地機器資源。

     b)    白盒檢測 

白盒安全掃描有多不同，針對不同語言和平台的，相對黑盒掃描會有重要的問題：誤報高、漏報高，且不同企業的開發語言、開發規範、開發架構不統一。 

i.    正則比對：基于漏洞特征和編碼習慣維護漏洞庫，使用正則對代碼比對，誤别潛在的安全風險。誤報高，且排查确認成本非常高。 

ii.    文法樹：将代碼解析成文法樹，通過變量傳遞等方式，基于風險輸入特征、風險輸出特征判斷漏洞是否存在。這種方式精準度比較高，再結合業務開發構架和規則效果更好。 

c)    其他檢測手段 

i.    白+黑關聯 

由于黑盒覆寫率不全，白盒誤報比較高，會有一種方式是将代碼找出來的漏洞，通過将代碼映射成真實的url，再交由黑盒fuzzing 進行漏洞驗證，這種方式的困難在于開發構架是否标準規範。 

ii.    位元組碼注入 

使用 javassist 方式将java位元組碼的風險函數進行hook，再利用 fuzz 的方式實作灰盒檢測的目的。 

3、    安全測試問題及挑戰 

綜合以上所述，安全測試工作涉及很多工作内容，同時要掌握諸多安全技術、安全工具、代碼分析能力，是一項極具挑戰的工作。讓開發自測、讓功能測試兼測都不是一種很放心的方案。 

如何在基于人力有限情況，保證産品快速疊代、搶占市場先機同時又保證安全品質，就需要擁有一個免費的、自動化、便捷易用的黑+白盒一體化的安全測試服務。 

4、    sts安全測試服務介紹 

a)    介紹 

皆在打造為使用者提供黑盒+白盒自動化、漏洞實時更新、免費、友善快捷的一體化安全測試服務。 

b)    功能 

黑盒安全掃描：阿裡巴巴内部多年技術沉澱的雲端叢集高速安全掃描服務，有效發現常見的安全漏洞，支援最新 0day 漏洞的檢測。

白盒安全掃描：基于動态編譯對代碼進行檢測，高精準、低誤報。

廣告檢測：獨立研發的高精準廣告檢測引擎，有效發現無線應用的廣告插件，以及廣告行為。

c)    優勢 

可靠：支援應用安全監控，定時對使用者産品進行安全檢測，發現漏洞後及時通知，防止漏洞被利用。

便捷：操作簡單，修複幫助清晰可讀。

快速：雲端海量叢集，及時回報檢測結果。

多元度：支援web、無線應用的黑盒、白盒掃描，消滅漏洞于無形。

d)    發展 

sts 安全檢測服務将為使用者提供多元度的安全評估功能，以專家次元評估應用的安全漏洞、潛在應用安全風險。并擷取使用者需求，及時高效完成使用者需求，皆在幫助使用者提供友善快捷的安全測試服務。