ThoughtWorks-马伟-持续Web应用安全测试.pdf

B ’ Q C o n f 持续WEB应⽤安全测试 by ⻢伟 AGENDA ▫︎Web应⽤安全现状 ▫︎安全漏洞检测技巧 ▫︎持续Web应⽤安全测试 2 WEB应⽤安全现状 3 近期WEB应⽤安全事件 OpenSSL Heartbleed 家⽤路由器DNS设置被篡改 多家酒店开房记录泄露 4 造成安全漏洞的原因 外因 内因 ⿊客攻击 安全意识不⾜ 恶意竞争 项⺫交付压⼒⼤ 第三⽅组件漏洞 缺乏安全相关的技术能⼒ 5 如何应对 安全，是质量的⼀部分，⽽不是附加。 6 安全漏洞检测技巧 7 OWASP TOP 10 A1-Injection A2-Broken Authentication and Session Management A3-Cross-Site Scripting (XSS) A4-Insecure Direct Object References A5-Security Misconfiguration A6-Sensitive Data Exposure A7-Missing Function Level Access Control A8-Cross-Site Request Forgery (CSRF) A9-Using Components with Known Vulnerabilities A10-Unvalidated Redirects and Forwards 8 注⼊漏洞 什么是注⼊漏洞？ 应⽤程序忽略了对输⼊数据的检查，这些夹杂了恶意代码的数据被应⽤程序误认为是正常的 指令⽽运⾏，从⽽使系统受到攻击。 后果很严重 这可能导致数据被窃取、更改、删除，以及进⼀步导致⺴站被嵌⼊恶意代码、被植⼊后⻔程 序等危害。 9 DEMO: SQL注⼊漏洞导致⾝份验证被绕过 10 这背后发⽣了什么？ ⾝份验证所使⽤的SQL ： SELECT * FROM users WHERE username = ‘ $usr ’ AND password = ‘ $pwd ’