大型互联网自动化安全测试LargescaleInternetAutomated.pptVIP

Large-scale Internet Automated Security Testing 大型互联网自动化安全测试 woyigui W：@淘宝王挺 工作：淘宝 需要做到如下几点： 降低线 上漏洞 提高效率 降低人员投入成本 自动化安全测试的目标和价值 依靠工具手工测试？ 关键字式的静态扫描？ 传统安全测试的方法？ 蜘蛛式扫描方式？ 优缺点期望 自动化安全测试方法 白盒自动化 黑盒自动化 如何实现白盒自动化 扫描修复 7 步走 白盒测试 Tips:当你把安全框架、规范、缺陷与开发流程打通，就降低了沟通成本： 安全框架 安全代码开发规范 误报库匹配 基于安全框架规则扫描 修复完成 通知开发 自动代码验证 几个小问题 白盒测试 Tips 2: 误报率如何解决（误报库的建立，用体力换取精确）； Tips 1: 根据不同公司的情况，建立自定义安全框架： Tips 5: 建立安全测试平台，将项目测试提交、漏洞管理等所有环节打通： Tips 4: 适时代码变更监控，自动缺陷验证： Tips 3: 当扫描漏洞后，直接漏洞通知到开发，减少沟通成本： 黑盒自动化测试框架（图） 黑盒测试 一此资料 黑盒测试 黑盒测试 优点 发现蜘蛛、手工无法发现的API接口 支持未知产品监控 支持实时性扫描 节省人工成本 支持大量产品同时测试 结合测试环境，及早发现 缺点 无法扫描业务安全漏洞 无法检测API一次性失效的接口 无法检测逻辑引起的问题 几个小问题 黑盒测试 Tips 2: 如何解决 post 数据的问题？； Tips 1: 如何解决身份验证的问题？： Tips 4: 如何解决 Hosts 绑定的问题？： Tips 3: 如何尽早解决漏洞遗漏到线上？： 自动化安全测试方法的期望 黑盒扫描 白盒扫描 规则更新 缺陷管理 流程优化 平台建设 产品展示 如何更自动，如何更安全。 解放繁重的工作，需要你我共同交流学习！ 还有什么？ Question