深入项目研发流程的安全建设.pdf

深入研发流程的安全建设 乌云 章华鹏 关于我 • 独立思考的白帽子黑客，booooom • 前百度高级安全工程师 • 乌云，唐朝安全巡航产品负责人 写在前面 • 讨论企业(研发)安全之前需要的思考 • 企业安全的核心是数据安全 • 深入研发流程了解数据流，剖析风险(新技术探 索) • 问题推动安全建设，解决风险 内容概要 • 项目研发的核心五个流程 • 全研发流程中的安全风险 • 深入研发流程的安全建设 核心五个流程 项目需求安全风险 项目需求安全风险 • 需求的本质是为了解决问题创造价值 • 需求本身是没有任何安全风险的 • 当前需求的核心风险点在哪？ • 安全需要介入产品的需求评审阶段 需求潜在风险点分析 • 互联网产品的核心是数据安全 • 核心数据是什么？ • 当前需求条件下，核心数据是否安全？ 系统设计 • 好的系统设计方案 • 实现产品需求 • 规避核心数据的风险 系统设计缺陷一 系统设计缺陷一 • 移动端设计缺陷 （数据交互弱加密） 系统设计缺陷二 系统设计缺陷二 • SSRF （可跨网络边界攻击内网） • 算法缺陷：MD5 碰撞问题 系统设计缺陷三 系统设计缺陷三 • 授权问题 （敏感系统可任意未授权访问） • 网站架构设计 （站库未分离） 更多关于系统设计缺陷 • 撞库问题 • 任意用户密码重置 • 第三方开源引用及服务的使用 （openssl，struts2， redis ） • 心脏滴血、struts2命令执行、redis getshell 系统设计阶段的风险 • 基础：安全规范执行 • 尽量避免使用第三方高危应用 • 内部系统不得对外未授权访问 • 深入：系统设计阶段安全评估介入 • 围绕核心数据流向的风险挖掘 “研发”出来的漏洞一 “研发”出来的漏洞一 • SQL注入 更多“研发”出来的问题 • 代码/命令执行 • 本地/远程文件包含 • 任意文件读取 • XSS 跨站漏洞 • XXE 漏洞 • 任意文件上传导致代码执行 更多“研发”出来的问题 研发代码风险 • 基础：安全编码规范 • 自动化审计：运行编译时高危函数风险检查 • 数据库相关操作：sql 注入 • 执行系统命令eval() 检查 • 文件上传move_uploaded_file()等 • 使用统一封装的安全方法 • 好的开发框架 系统(安全)测试 • 安全建设的核心是问题推动！！！ • 测试阶段本身就是针对之前阶段的一个安全检查 • 黑盒安全测试 • 白盒代码审计 黑盒安全测试 • 人工渗透测试 • 众测 • 自动化测试( ⭐ ) • 盲测(动态spider+通用漏洞检测) • 透明测试(基于业务全流量的风险探测) 黑盒安全测试的未来 • 全业务逻辑(数据流)遍历 • 业务逻辑解析 （让机器读懂业务） • 基于业务逻辑的智能安全测试(唐朝安全巡航引擎) • 像黑客一样思考 全业务逻辑遍历 • 主动的业务逻辑抓取遍历 • 被动的业务流量解析 业务逻辑解析 • 通过一个HTTP(s)请求包去理解业务 • /storeOrderDetail.htm?orderNo 15030801994800