企业级代码安全实践.pptxVIP

企业级代码安全最佳实践 止介 feei@ 吴止介（Feei） 介绍 白帽 Cobra作者 专注Web应用漏洞自动化挖掘 美联集团 安全研究员开发工程师 议程 一次常规漏洞挖掘 - 黑白盒异同 企业对代码安全的刚需 Cobra - 企业级开源代码安全审计系统 一次常规的漏洞挖掘 - 黑白盒异同 # utility.php function curl_request($url) { $ch = curl_init(); /* * 搜索规则定位的漏洞点 */ curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_exec($ch); curl_close($ch); } # file1.php function f1($param) { return curl_request($url); } $url = $_GET[‘url’]; f1() # file2.php function f2() { $url = ; return curl_request($url); } f2(); 黑盒 爬取所有请求（收集） fuzz所有请求（检测与修复判断） 白盒 定位漏洞点（检测） 是否修复（修复判断） 扫描所有代码（收集） 人工 为黑白盒提供规则 为修复漏洞提供完善方案 企业对代码安全管理的刚需 溯源 代码安全的重要性 漏洞多：发现各类语言的常见漏洞和新型漏洞 响应快：能快速覆盖大量项目的安全问题 准确率好：漏洞误报率要低 省时、省力：自动化（扫描、发现、报告、修复、统计） Cobra Cobra - 开源企业级代码安全审计系统 Cobra设计理念 不能直接利用的漏洞也是风险 白盒为主，黑盒为辅 优先解决源头问题/杜绝同类问题重犯 极致自动化 Cobra Cobra Cobra 开放源码 兼容性 多语言支持 多漏洞支持 自动化 - Features /wufeifei/cobra Cobra Cobra开放源码 Cobra Cobra兼容性 Cobra Cobra多语言支持 Cobra Cobra多漏洞支持 SQL Injection LFI/RFI Header Injection XSS CSRF Logic Bug Command Execute Code Execute Information Disclosure xPath Injection LDAP Injection XML/XXE Injection Unserialize Variables Override URL Redirect Weak Function Buffer Overflow Deprecated Function Stack Trace Resource Executable SSRF Hard-coded Password Cobra Cobra自动化 触发 Trigger 扫描 Scan 报告 Report 修复 Fixed 重扫 Rescan Cobra应用场景 Cobra 日常安全扫描 新漏洞应急评估 三方依赖基线 Cobra A.日常安全扫描 自助扫描 代码发布系统 代码持续集成 GIT集成服务 Cobra B.新漏洞应急评估 Cobra C.三方依赖基线 Cobra Cobra初见成效 项目个数：≈2700个 文件个数：≈765万个 代码行数：≈3.5亿行 平均时间：≈2.7秒/项目 总漏洞数：≈34000个 高危漏洞：≈2000个 Cobra 下一步计划？ 持续优化Cobra，使误报率降至5%以内 降低使用成本，让更多企业/个人使用上 对外提供官方站点供全规则检测 逐步开源通用扫描规则 QA