总结:今天我们走近一家领先的厂商,一起学习阿里巴巴的阿里巴巴集团安全测试规范。 阿里巴巴集团安全测试规范 阿里巴巴集团安全测试规范 背景简介 规范代码安全开发,规避安全风险。 而如何系统地进行安全测试目前缺乏相应的理论和方法论支撑。
很多人都知道,在学校学到的技术、创业公司的技术、合约公司的技术、自研公司的技术,和各大互联网公司的技术有很大的不同。 几乎每个互联网圈子里的人都有一个“大工厂梦”。 因为加入大工厂意味着更先进的技术、更高的薪酬、更好的同事和领导、以及更大的成长空间。 即使你来自大工厂,以后找工作也会容易很多。
今天我们就走近一家大厂,一起学习一下阿里巴巴的《阿里巴巴集团Web安全测试规范》。
《阿里巴巴集团Web安全测试规范》
p>
背景介绍
规范代码的安全开发和运行方式,避免安全风险。 性检测目前缺乏相应的理论和方法论支持。 为此,我们制定了《安全测试规范》。 这使得测试人员能够系统、快速地对被测系统针对常见的安全漏洞和攻击技术进行安全测试。
适用受众
这里本规范的读者和用户主要是测试人员、开发人员等。
范围
本规范主要以常见的基于服务器的 Web 应用程序系统为例。 其他系统也可以参考。 下图展示了一个基于流行服务器的典型Web应用系统。
在本规范中该方法主要是一种积极的测试。 除了涵盖行业通用的 Web 安全测试方法之外,我们还利用一些行业最佳的安全实践。
安全测试在整个项目流程中的地位
一般情况下,建议在进行集成测试之前,根据产品实现架构和安全需求完成安全测试需求分析和测试设计,准备好安全测试用例。 。
集成版本正式测试后,您将可以进行安全测试。 如果产品质量不稳定,前期功能问题较多,可以适当推迟安全测试。
如何测试网络安全
验证安全功能
功能验证在软件测试中采用黑盒测试技术来测试用户管理模块、权限管理模块、密码系统、认证系统等与安全相关的软件功能。 主要是验证上述功能是否启用或者不存在安全性。 漏洞。 具体方法可以采用黑盒测试方法。
漏洞扫描
漏洞扫描是检测指定远程或本地计算机系统中的安全漏洞的过程,例如通过扫描漏洞数据库,发现可利用的安全检测(入侵攻击)。 行动。
漏洞扫描技术是网络安全技术的重要一类。 与防火墙、入侵检测系统配合,有效提高网络安全性。 通过对网络进行扫描,网络管理员可以了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络的风险级别。 根据扫描结果,网络管理员可以修复网络安全漏洞和系统错误配置,以防止黑客攻击。 防火墙和网络监控系统属于被动防御,而安全扫描则是主动防御措施,可以有效抵御黑客攻击,将问题消灭在萌芽状态。
Appscan 工具简介
Appscan扫描工具只能检测一些常见的漏洞(如跨站脚本、SQL注入等),不针对用户代码。由于我们了解业务逻辑,因此我们无法针对这些漏洞做出任何进一步的业务决策。 通常,最严重的安全问题不是常见的漏洞,而是通过这些漏洞暴露的对业务逻辑或应用程序的攻击。
Web 目前分为两部分:应用程序和 Web 服务。 传统意义上的应用程序指的是Web应用程序,而Web服务是一种面向服务的架构技术,通过标准的Web协议(HTTP、XML、SOAP、WSDL等)提供服务。
AppScan 的工作原理
AppScan 的工作原理:
1. 通过搜索(爬网)发现 Web 应用程序的整个结构。
2. 根据分析,通过发送修改后的 HTTP 请求(扫描规则库)来尝试攻击。
3.通过Respond分析验证是否存在安全漏洞。
简而言之,AppScan的核心提供了一个扫描规则库,利用自动化的“探索”技术来检索大量的页面和页面参数,然后进行安全测试。 扫描规则库、探索和测试构成了 AppScan 的三个核心元素。
测试用例和规范
测试用例和规范如下: 可以被分类。 有两种类型:主动模式和被动模式。 在被动模式下,测试人员尽可能地理解应用程序逻辑。 例如,使用工具分析所有 HTTP 请求和响应,使测试人员能够了解应用程序中的所有访问点,包括 HTTP 标头、参数、cookie 等。 在主动模式下,测试人员充当黑客,尝试对应用程序、系统、后端等进行渗透测试。 可能的影响包括数据损坏和拒绝服务。 一般来说,测试人员必须首先熟悉目标系统(被动模式测试)。 接下来,进行进一步分析(在主动模式下测试)。 与测试对象进行主动测试会话目标执行直接数据交互,这对于被动测试来说不是必需的。 见下图:
与本规范相关的测试工具
应用和使用安全工具时,请遵守我们的信息安全规定。
工具名称
AppScan IBM Rational AppScan,用于Web安全测试的自动扫描工具
WebScarab Web代理软件扫描您的浏览器和网络,您可以编辑和更改服务器之间的通信数据
DirBuster 是一个用于在 Web 安全测试中遍历目录和文件的工具。
WSDigger Web服务安全测试工具
Jad Java class文件反编译软件
CAJAVA Java class文件反编译软件(兼容多个JDK版本)
>
Pangolin SQL注入测试工具
WireShark网络协议抓包分析工具
优点
本次特别版《阿里巴巴集团Web安全测试规范》点击下面即可获得。
《阿里巴巴集团Web安全测试规范》
评论前必须登录!
注册