web产品安全典型案例与测试实战分享.pptVIP

产品安全 典型案例与测试实战分享 测试技术部李晓南 ;;;问题描述;原因分析;原因分析;城堡结构图： 发生时间点：年月 可能进城方式：注入、文件上传;寻找日志（无果） 代码扫描注入（无果） 寻找系统上传点（无果）;原因分析;运维人员定期对现网服务器进行木马扫描 开发人员对代码扫描中的安全隐患进行修复 项目组在应用程序发布前进行一轮安全性测试——结合《安全上线指标》;问题描述;前车之鉴——源头一定要堵上;解决方案;解决方案;【安全漏洞预警】畅言教育网存在高危安全漏洞，用户可上传木马至服务器 【安全漏洞预警】国家普通话水平测试信息管理系统“”存在任意文件上传漏洞，导致服务器可被挂马 【安全漏洞预警】安徽省工商联统一会员数据库服务器可被挂马（也会影响到联商在线） 【安全漏洞预警】讯飞研究院的个性化语音社区存在上传挂马漏洞 安全测试小组现网产品人工渗透结果：语音云官网存在文件上传漏洞，可导致服务器被控制 安全测试小组现网产品人工渗透结果：存在另一处文件上传漏洞，可导致服务器被控制及网页被篡改;站点入口一定要全部清楚 站点一定不要遗漏安全测试 文件上传一定要严格控制 客户端、服务端均校验上传文件的后缀名 随机重命名上传的文件 上传目录不开启执行权限;网站备份你有吗？;目录浏览你有吗？;、、、。。。你有吗？;安全测试小组现网产品人工渗透结果：讯飞官网存在服务器任意文件下载漏洞 安全测试小组现网