架构里看安全.pptxVIP

第1页/共26页About Me西北工业大学· 软件工程上海交通大学· 信息安全工程从开发转型安全，从客户端安全转型Web安全台湾骇客年会HITCON 2013 SpeakerOWASP 2013上海安全论坛Speaker携程旅行网· 高级安全架构师平安科技· 安全产品经理第2页/共26页摘要架构中看安全了解企业的架构安全与架构之职责安全与架构之关系在架构中修复安全漏洞安全架构建设实践结语第3页/共26页架构里看安全“授人以鱼，不如授之以渔”第4页/共26页了解企业的架构安全第5页/共26页企业架构图金融研发部业务16研发部基础业务研发部业务1研发部账户应用支付应用业务1应用业务16应用用户可见基础架构应用用户透明架构部安全部运维部数据存储、管理、分析应用数据平台部安全部运维部第6页/共26页安全与架构之职责安全漏洞挖掘与修复防御入侵、攻击安全审计/评估业务安全…架构为业务提供基础技术服务架构评估统一管理、统一运维第7页/共26页安全与架构之关系架构安全性码农科学家架构完备性架构的好坏决定着安全人员的角色！消防员医生第8页/共26页安全与架构之关系架构的好坏决定着漏洞修复的成本！第9页/共26页安全与架构之关系好的架构使得安全建设事半功倍！第10页/共26页在架构中修复安全漏洞“君有疾在腠理，不治将恐深”第11页/共26页违反安全原则的架构设计耦合性过高计算资源分配不均木桶原理，短板效应用户权限未隔离水平权限: 同级别用户之间垂直权限: 不同级别用户之间案例分析Case1: 订单查询越权漏洞Case2: 临时用户访问越权漏洞第12页/共26页Case1示意图/order?id=123遍历000-999查看所有订单详情！订单号OrderID各类产品订单详情查询公共的订单查询接口Offline订单处理系统订单号OrderID业务人员订单号OrderID订单数据库订单号OrderID用户UserID带有身份验证的订单查询接口订单号OrderID用户UserIDInternetIntranet第13页/共26页Case2示意图一：登录流程临时会员预订登录凭证验证填写手机号码生成登录凭证ticket登录凭证ticket预订产品临时会员产品购买用户名+密码登录凭证ticket支付手机号+短信验证码注册会员Restful API第14页/共26页Case2示意图二：问题描述可填写任意手机号！填写手机号进行预订根据手机号生成ticket预订平台手机号ticket 手机号根据临时用户ID生成ticket手机号ticket 手机号订单数据库查询订单列表订单查询接口ticket手机号InternetIntranet第15页/共26页经验与教训架构缺陷带来的问题：漏洞修复成本极高对于旧的系统，要进行排查、审计对于新的系统，要做好架构评审工作面对特殊业务，评估是否基础架构先行第16页/共26页安全架构建设实践“无他，唯手熟尔”第17页/共26页安全需求分析爬虫爬取公司独家的商品、价格信息批量刷单/刷活动/刷评论/刷优惠券…移动端H5站点是重灾区旧有架构是否满足？前端风险：ClientID可被伪造风险识别效率低：依赖人工响应方式落后：网络设备上封锁IP地址为旧有架构添加安全Feature规则引擎响应模块第18页/共26页旧有架构RequestRequestJS Framework可被伪造的ClientIDGatewayIP黑名单请求分发熔断SOA业务应用支付应用广告推送人工安全监控大数据平台运维监控日志收集分析平台第19页/共26页新的安全架构方案安全监控模块规则引擎代替人工Gateway改造ClientID合法性验证两个黑名单：ClientID IP新增SOA服务给客户端下发ClientID提升安全性：ClientID中带有校验位JS Framework改造ClientID的获取、存储访问SOA服务统一携带ClientID第20页/共26页SOAJS FrameworkGateway页面onload频繁访问，封IP！是否有Clientid？否生成Clientid接口Clientid服务接口是否来自hybrid？是Local StorageHTTP Request否是否有Clientid？根域Cookie否是Clientid是否非法？是Block否Clientid是否在黑名单？IP是否在黑名单？是服务接口否否Block是Block第21页/共26页新架构爬虫请求爬虫请求JS Framework不可伪造的新ClientIDClientID验证GatewayClientID+IP黑名单熔断请求分发SOA业务应用支付应用商业推送安全规则引擎商业智能运维监控日志收集分析平台第22页/共26页数据分析业务总访问量有cid的访问量无cid的访问量非法cid无c