5-JAVA灰盒安全测试技术分享-吴卓群.pdf

基于WEB的 JAVA灰盒安全测试 技术分享 演讲人：吴卓群 职务：安恒安全研究院负责人 日期：2014年09月 China Internet Security Conference 2014 2014中国互联网安全大会 Why • 目前常用的WEB应用自动化测试程序 – 白盒测试（源码审计系统） • 需要获得源代码，对人员的安全专业知识要求高 • 误报率高 • 逻辑顺序关联的问题无法测试 – 黑盒测试（自动化WEB扫描器） 考虑使用 • 依靠页面响应，很多漏洞无法检测 基于灰盒 – 存储跨站 的fuzzing – 页面无变化的注入（update, insert 等） 方式 – 大部分的代码注入 – 很多文件操作相关的漏洞 • 需要依靠爬虫的能力，测试覆盖面比较低 • 为减少漏报率，需要编写大量的测试向量 灰盒测试 • 介于白盒和黑盒之间，对应用进行深度的 测试 – 不需要源代码支持 – 能检测到黑盒无法检测的无回显差异的漏洞 – 能检测带白盒无法测试逻辑顺序复杂的漏洞 – 对测试人员要求低 利用Hook的方式进行数据劫持，并进行测试 Java Hook方式 太过繁琐，兼容性不好 无法劫持上层调用函数 修改中间 无法满足要求 件及JVM 系统提供 字节码动 的hook 态修改 Java Hook 灰盒测试框架 • 适应灰盒测试概念, 关注J2EE 中间件关键函数污染表现 检 JDK1.5后新特征, javaagent机制 测 流 程 不 关键函数javassist字节码劫持+沙盒辅助 必