- 1、本文档共13页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
大型互联网自动化安全测试LargescaleInternetAutomated
Large-scale Internet Automated Security Testing
大型互联网自动化安全测试
woyigui
W:@淘宝王挺
工作:淘宝
需要做到如下几点:
降低线
上漏洞
提高效率
降低人员投入成本
自动化安全测试的目标和价值
依靠工具手工测试?
关键字式的静态扫描?
传统安全测试的方法?
蜘蛛式扫描方式?
优缺点期望
自动化安全测试方法
白盒自动化
黑盒自动化
如何实现白盒自动化
扫描修复 7 步走
白盒测试
Tips:当你把安全框架、规范、缺陷与开发流程打通,就降低了沟通成本:
安全框架
安全代码开发规范
误报库匹配
基于安全框架规则扫描
修复完成
通知开发
自动代码验证
几个小问题
白盒测试
Tips 2: 误报率如何解决(误报库的建立,用体力换取精确);
Tips 1: 根据不同公司的情况,建立自定义安全框架:
Tips 5: 建立安全测试平台,将项目测试提交、漏洞管理等所有环节打通:
Tips 4: 适时代码变更监控,自动缺陷验证:
Tips 3: 当扫描漏洞后,直接漏洞通知到开发,减少沟通成本:
黑盒自动化测试框架(图)
黑盒测试
一此资料
黑盒测试
黑盒测试
优点
发现蜘蛛、手工无法发现的API接口
支持未知产品监控
支持实时性扫描
节省人工成本
支持大量产品同时测试
结合测试环境,及早发现
缺点
无法扫描业务安全漏洞
无法检测API一次性失效的接口
无法检测逻辑引起的问题
几个小问题
黑盒测试
Tips 2: 如何解决 post 数据的问题?;
Tips 1: 如何解决身份验证的问题?:
Tips 4: 如何解决 Hosts 绑定的问题?:
Tips 3: 如何尽早解决漏洞遗漏到线上?:
自动化安全测试方法的期望
黑盒扫描
白盒扫描
规则更新
缺陷管理
流程优化
平台建设
产品展示
如何更自动,如何更安全。
解放繁重的工作,需要你我共同交流学习!
还有什么?
Question
您可能关注的文档
最近下载
- 小学校创客及人工智能教育典型案例.docx
- 变电运行试题题库.pdf VIP
- 2023年新疆大学软件工程专业《数据结构与算法》科目期末试卷B(有答案).docx VIP
- JC08心理咨询技能单科作业题(新版教材考生通用_202305月考生适用).pdf
- 七人学生小品《如此课堂》剧本台词手稿.doc
- 部级基础教育精品课PPT模板.pptx
- 采埃孚商用车及工程机械产品专用油品手册.PDF
- QGDW10270-2017-220kV及110(66)kV输变电工程可行性研究内容深度规定.pdf
- 2022知到答案 军事理论(同济大学) 智慧树满分章节测试答案.docx
- 口腔CBCT管理制度-操作规程.docx
文档评论(0)