安全测试常态化落地方案及日常推进机制

这篇具有很好参考价值的文章主要介绍了安全测试常态化落地方案及日常推进机制。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、背景

数据安全法实施后,国家监管部门加强了对企业数据安全的监管力度。在这个大的背景下,为保障物流体系系统安全,提前规避安全风险,由测试组牵头制定安全测试流程规范并持续推进安全测试常态化。

二、安全漏洞的类型及危害

1、常见安全漏洞类型

越权类漏洞、上传漏洞、XSS漏洞、CSRF漏洞、SQL注入漏洞、任意文件读取漏洞、反序列化漏洞、CORS漏洞、SSRF漏洞、URL调整漏洞等

2、安全漏洞危害

1. 信息泄露

攻击者可以通过漏洞入侵企业的系统,窃取企业敏感信息,如客户信息、财务数据等。这些信息一旦泄露,将会对企业带来巨大的损失,同时也会损害客户的信任和企业品牌形象

2. 系统瘫痪

攻击者通过漏洞攻击,有可能使企业的整个系统瘫痪。这样的结果直接导致企业无法正常运营,对企业的经济发展产生极大的影响

3. 敲诈勒索

攻击者通过漏洞攻击,可以加密企业的数据,要求企业支付赎金后才会释放数据。这种敲诈勒索方式有可能会让企业陷入经济困境

三、现状分析

目前部门通过【安全工单】的方式接收并处理安全问题。安全工单是由集团安全部下发的工单,包含应用上线时J-ONE自动触发的安全扫描建立的工单以及由安全部、外部白帽子手工测试发现安全漏洞创建的工单。安全工单由部门接口人通知到各应用负责人进行跟进处理。

1、工单来源

1.白盒扫描

2.黑盒扫描

3.JSRC(白帽子提测)

4.其他漏洞

2、工单漏洞类型

1.白盒扫描主要针对组件类漏洞

2.黑盒扫描主要针对配置类漏洞

3.JSRC主要针对业务逻辑漏洞

4.其他:安全组同事发现的业务逻辑漏洞或集团新增的安全检测规则

方式 目的及覆盖漏洞类型
流水线 目的:白盒测试,扫描代码,提前规避 组件类漏洞问题 覆盖漏洞类型:源组件漏洞、XSS、注入类漏洞
黑盒平台 目的:黑盒测试,扫描主机,提前规避 配置类问题、违规开放问题 覆盖漏洞类型:配置类漏洞、违规开放、注入类漏洞、访问伪造
手工测试 目的:弥补工具扫描的不足,挖掘逻辑漏洞 覆盖漏洞类型:逻辑漏洞、文件操作
DCAP安全策略 目的:暴露数据安全类问题 覆盖漏洞类型:数据安全类

3、已有的检测方式

1.白盒扫描:流水线中提供了安全原子

2.黑盒扫描:有页面和接口,可以进行定时扫描

3.IAST平台

4、部门应用分析

目前二级部门应用有200个左右,其中公网应用有京驿APP、京管家APP、外网承运商平台、通联相关应用、货航条线相关应用。分析安全工单数据可知业务逻辑漏洞来源均为公网应用,公网应用直接面对客户,安全治理的优先级最高。

四、安全测试方案制定

1、测试方式

针对现存的逻辑漏洞类型,采取工具接入(白盒、黑盒)+手工测试的方式进行全方位覆盖。

2、逻辑漏洞测试流程

a. 提测标准

  • 所有涉及外网的需求
  • 有大量外部人员使用的内网

b. 提测阶段

需求评审阶段,测试 发起确定是否需要安全测试

  • 测试 评估是否涉及到外网用户的使用场景
  • 产品 评估是否为大量外部人员使用的内网系统(建议15人以上)

c. 测试排期

  • 和功能测试同时排期,测试结束后上线

d. 准出标准

  • 所有安全漏洞修复后上线

五、安全测试方案实施

1、工具接入

1.流水线接入安全原子,针对master分支进行安全扫描

2.定时任务调取黑盒平台api进行安全扫描

3.配置IAST插件进行安全扫描

2、手工测试分阶段进行

a. 第一阶段:存量安全问题治理

1. 成立安全测试小组

邀请安全部门同事进行培训并自主学习安全知识,使特定的人具备安全测试能力:包含工具使用,数据泄露、水平越权、垂直越权等漏洞的挖掘能力

2. 外网平台专项治理

分析长安工单可知目前外网应用存在的主要问题是越权问题,因此针对外网平台进行专项治理。

  • 外网应用接口梳理
  • 首先对包含敏感数据的接口进行治理(后端加Permisson注解,物流网关解析权限配置)
  • 然后对不含敏感数据的接口进行治理

b. 第二阶段:增量需求进行安全测试

  1. 定期在组内进行安全测试分享培训,使组内所有人具备安全测试能力
  2. 提升逻辑漏洞相关知识,逻辑漏洞覆盖范围扩展至XSS、CSRF等漏洞

c. 第三阶段:安全意识的培养

  1. 产品:需求评审过程中针对外网应用提出安全测试的诉求
  2. 研发:开发过程中遵循安全测试规范,规避安全问题
  3. 测试:需求评审过程中针对外网应用提出安全测试要求;代码评审过程中针对权限类、敏感数据类检查是否有权限校验或数据加密;安全测试过程中覆盖常用的安全用例

3、逻辑漏洞挖掘经验

a. 工具使用

BurpSuite安装

b. 通用用例及构造方式

用例名称 步骤 错误结果 预期结果 原理介绍
敏感数据校验 请求包含敏感数据的接口 身份证、手机号、地址等字段未加密 敏感数据加密后返回
垂直越权校验 ①有菜单权限的用户A登录并请求接口 ②无菜单权限的用户B登录 ③用户A的cookie替换成用户B的cookie后重发接口 接口返回成功 接口返回”无权限“
水平越权校验 ①用户A登录并请求具有属性的数据 ②用户B登录 ③用户A的cookie替换成用户B的cookie后重发接口 接口返回成功 接口返回”无权限“
反射型XSS校验 ①输入框中输入 ②点击提交 页面展示‘xss’弹窗 页面无弹窗 逻辑漏洞挖掘之XSS漏洞原理分析及实战演练
存储型XSS校验 ①输入框中输入 ②点击提交 ①数据库落数据: ②再次查看包含该数据的页面,页面弹窗 ①对特殊字符进行转义后存储 ②再次查看包含该数据的页面,无弹窗
CSRF校验 ①用户登录网站A ②未关闭网站A的情况下登录网站B,网站B中包含构造的对网站A的接口请求 接口返回成功 接口返回401 逻辑漏洞挖掘之CSRF漏洞原理分析及实战演练

c. 实例分析

1.敏感数据

问题描述:接口敏感数据未加密

2. 垂直越权

问题描述:不具备菜单权限的测试账号访问接口后可以成功返回数据

3. 存储型XSS

问题描述:漏洞位置其实为两处,此处类似iframe嵌⼊,直接影响两个站点

漏洞证明:发送如下数据包,即可插⼊存储型XSS

4. 反射型XSS

输入万能语句 后并没有弹窗,查看源码可见 <>被转义了

在input标签的value处,没有将我们输入的内容进行严格过滤,所以手动闭合value,再执行脚本 ">

5. CSRF漏洞

问题描述:编写html脚本,构建提交按钮,点击按钮触发接口调用,接口请求中不需要cookie即可请求成功

六、落地成果

安全工单中业务逻辑漏洞类型的工单数量降低了 70%

1.流水线扫描的高风险问题已全部解决

2.外网应用的水平越权、垂直越权问题已全部解决

3.随迭代新增的需求累计挖掘逻辑漏洞 45

方式 目的及覆盖漏洞类型 达到情况 备注
流水线 目的:白盒测试,扫描代码,提前规避 组件类漏洞问题 覆盖漏洞类型:源组件漏洞、XSS、注入类漏洞 44个应用已接入流水线,高风险安全问题全部解决
黑盒平台 目的:黑盒测试,扫描主机,提前规避 配置类问题、违规开放问题 覆盖漏洞类型:配置类漏洞、违规开放、注入类漏洞、访问伪造 外网平台已加入黑盒扫描,扫描的问题全部解决 已接入定时任务,每周一9:00执行
手工测试 目的:弥补工具扫描的不足,挖掘逻辑漏洞 覆盖漏洞类型:逻辑漏洞、文件操作 ①外网平台全方位测试 ②新增需求100%安全测试
DCAP安全策略 目的:暴露数据安全类问题 覆盖漏洞类型:数据安全类 已完成安全策略接入 通过流量监控等方式检测漏洞,发现问题后由安全部门同事确认并提交长安工单(数据安全类型)

七、未来规划

1、安全测试常态化持续推进

2、安全知识持续提升

作者:京东物流 范文君

来源:京东云开发者社区 自猿其说Tech 转载请注明来源文章来源地址https://www.toymoban.com/news/detail-663680.html

到了这里,关于安全测试常态化落地方案及日常推进机制的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 数字化会员系统如何落地?数字化会员运营机制设计方式

    对于企业而言,如何对自身客户进行标签划分、挖掘潜在价值并进行后续运营、转化,是每个企业的必修课。在业务开展的过程中,企业也需要知道什么样的客户更值得维护、以及如何让更多的客户发挥更大的价值。因此,不少企业选择开发数字化会员系统来进行用户的统一

    2024年02月10日
    浏览(49)
  • 移动安全app渗透测试之渗透流程、方案及测试要点讲解

    被产品经理分到了个app测试的活,(话说为啥是产品经理给派活,我不是归技术总监管么),包含安卓端的和ios端的,有点懵逼, 说好的web渗透测试和服务器端渗透测试呢,虽然懵逼,不过凭借我强大的自学能力,有了下面这篇文章,工欲善其事,必先利其器。 先整理好思

    2024年02月16日
    浏览(37)
  • 区块链面临六大安全问题 安全测试方案研究迫在眉睫

    近年来,区块链技术逐渐成为热门话题,其应用前景受到各国政府、科研机构和企业公司的高度重视与广泛关注。随着技术的发展,区块链应用与项目层出不穷,但其安全问题不容忽视。近年来,区块链安全事件日益增多,引发的后果较为严重,造成的经济损失数以亿计。

    2024年02月10日
    浏览(44)
  • 全方位揭秘!大数据从0到1的完美落地之运行流程和分片机制

      一个完整的MapReduce程序在分布式运行时有三类实例进程: MRAppMaster: 负责整个程序的过程调度及状态协调 MapTask: 负责Map阶段的整个数据处理流程 ReduceTask: 负责Reduce阶段的整个数据处理流程 当一个作业提交后(mr程序启动),大概流程如下: 一个mr程序启动的时候,会先启动一

    2024年02月06日
    浏览(44)
  • DDD技术方案落地实践

    从接触领域驱动设计的初学阶段,到实现一个旧系统改造到DDD模型,再到按DDD规范落地的3个的项目。对于领域驱动模型设计研发,从开始的各种疑惑到吸收各种先进的理念,目前在技术实施这一块已经基本比较成熟。在既往经验中总结了一些在开发中遇到的技术问题和解决方

    2024年02月05日
    浏览(48)
  • 【测试人生】游戏业务测试落地精准测试专项的一些思路

    精准测试在互联网领域有广泛的应用。以变更为出发点,通过对变更内容进行分析,可以确定单次变更具体涉及到哪些模块和功能点,以及是否存在夹带风险,从而从QA的视角,可以知道哪些功能模块需要做测试,以及哪些变更内容不符合预期。相比于互联网QA,游戏QA接入业

    2024年02月07日
    浏览(41)
  • 京东购物车分页方案探索和落地

    随着京东购物车应用场景的丰富化和加车渠道的多元化,京东购物车的商品容量从2015年至今一直在逐步增加。 2015年京东购物车由80件扩容到120件; 2018年由120件扩容到150件; 2020年由150件扩容到180件; 2021年京东PLUS会员扩容到了220件。 持续不断的扩容给我们的后端服务带来了

    2024年02月08日
    浏览(68)
  • promise时效架构升级方案的实施及落地

    promise时效包含两个子系统:内核时效计算系统(系统核心是时效计算)和组件化时效系统(系统核心是复杂业务处理以及多种时效业务聚合,承接结算下单黄金流程流量),后者依赖前者,分别由两组技术团队支持;因为有些业务的渗透造成两个系统的边界越来越不清晰;有

    2024年02月05日
    浏览(43)
  • 落地自动化测试体系建设

    怎样在火车版本中充分保证软件质量,怎样对多个阶段进行测试,怎样降低人为错误的风险,怎样在整体测试过程中提高测试效率,面对多端发布,多版本发布,多机型发布等我们该如何应对,接下来小编就给你们详细讲解自动化测试体系建设,欢迎大家在留言区评论交流!

    2024年02月02日
    浏览(41)
  • 软件测试人员每天的工作日常

    我现在每天9点左右从家里出发,9点半左右到公司,到公司之后,首先用养生壶煮一壶好茶,工作忙碌时也要记得多喝水,然后一边听着煮茶声一边写着当天的工作计划,工作计划主要包括当天工作内容、学习计划和总结。 计划并不是每天都能完成,在工作结束之后根据实际

    2024年02月12日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包