《测试之美-客户端安全无懈可击安全测试方法一站式指南.pdf》由会员分享,可在线阅读,更多相关《测试之美-客户端安全无懈可击安全测试方法一站式指南.pdf(24页珍藏版)》请在三个皮匠报告上搜索。
1、客户端安全无懈可击:安全测试方法一站式指南分享人:曹微个人简介姓名:曹微所在组织:技术中台-质量工程部专业领域:客户端安全测试目录010203安全的重要性程序利用的案例分析客户端安全测试模式04客户端安全测试方法安全事件勒索事件 2017,WannaCrypt(永恒之蓝)勒索蠕虫,150多个国家超过23万台电脑被感染,损失超过百亿美元 2022,英国著名汽车经销商集团Pendragon遭到Lockbit勒索软件的攻击,赎金达6000万美元数据泄露 2017,美国信用评级公司Equifax,1.4亿用户信息被泄露 2018,亚马逊,5万员工信息泄露 2021,Facebook,5亿用户信息泄露国
2、家攻击 2017,乌克兰政府和企业被勒索木马攻击 2020,美国太阳风(SolarWinds)供应链攻击 2022,西北工业大学被美国国家安全局NSA攻击70%软件漏洞网络钓鱼国家政策没有网络安全就没有国家安全中华人民共和国网络安全法信息安全等级保护管理办法计算机信息网络国际联网安全保护管理办法中华人民共和国电子签名法计算机信息系统国际联网保密管理规定涉及国家秘密的计算机信息系统分级保护管理办法互联网信息服务管理办法中华人民共和国计算机信息系统安全保护条例1、中华人民共和国网络安全法2、中华人民共和国保守国家秘密法3、中华人民共和国国家安全法4、中华人民共和国电子签名法5、计算机信息系统国际联
3、网保密管理规定6、涉及国家秘密的计算机信息系统分级保护管理办法7、互联网信息服务管理办法8、非经营性互联网信息服务备案管理办法9、计算机信息网络国际联网安全保护管理办法10、中华人民共和国计算机信息系统安全保护条例11、信息安全等级保护管理办法12、公安机关信息安全等级保护检查工作规范(试行)13、中办、国办转发国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)14、中办、国办关于进一步加强互联网管理工作的意见(中办发200432号)15、中央网信办关于加强党政机关网站安全管理的通知(中网办发文20141号)16、中央网信办关于印发的通知(中网办发文20145号)17、国
4、家发改委5部委关于进一步加强国家电子政务网络建设和应用工作的通知(发改高技20121986号)18、工业和信息化部关于印发的函(工信部协函2013259号)19、广东省信息化促进条例20、广东省计算机信息系统安全保护条例21、广东公安网安部门信息安全检查细则22、省公安厅关于继续深休我省信息安全等级保护工作的通知(粤公通字2011124号)23、关于切实加强我省涉外国家安全和保密工作的意见(粤办发200512号)24、关于进一步加强互联网管理工作的意见(粤办发200525号25、关于加强和改进我省互联网管理工作的意见(粤办发201238号26、关于加强我省工业控制系统信息安全管理的意见(粤信办
5、20123号)27、省保密局、省公安厅、省安全厅、省经济和信息化委员会、省通信管理局联合开展信息安全保密检查工作制度28、通信网络安全防护管理办法(工业和信息部令第11号)29、电信和互联网用户个人信息保护规定(工业和信息部令第24号)客户端安全测试重要性分析网络四要素通信线路和通信设备有独立功能的计算机网络软件支持Windows客户端应用程序网络协议Forrester 2020 年发布的调查报告Forrester Analytics Global Business Technographics Security Survey,2020什么是安全性安全性:产品或系统保护信息和数据,以便人员或其
6、他产品或系统的数据访问适当的程度,他们的类型和级别的授权程度。安全性子特性包括:保密性、完整性、抗抵赖性、可核查性、真实性2、程序利用的案例分析应用程序被利用的过程执行“身份证正面.com”带有白签名 漏洞:缓冲区溢出读取ereg.ini 构造超过缓冲区长度的配置数据,覆盖SHE异常处理链,劫持漏洞程序跳转执行shellcode执行X 保存有shellcode2执行A 利用“腾讯签名”附带远控木马客户资料.rar3、客户端安全测试模式模式转变SDL(安全开发生命周期)devsecops构建保障重点 编码安全、引用安全自动化测试 AST、SCACICD工具链4、客户端安全测试方法安全威胁模型ST
7、RIDE仿冒篡改抵赖信息泄露拒绝服务权限提升攻击方法举例仿冒绕过认证中间人攻击文件劫持数字签名利用SQL注入远程代码注入重放攻击会话劫持篡改抵赖信息泄露拒绝服务权限提升数据共享方式选择不当社会工程学攻击分布式拒绝服务(DDoS)缓冲区溢出组策略篡改旁路控制windows客户端常见的安全性问题信息04明文存储日志中带有敏感信息SQL暴露调试日志泄露权限03用户权限异常进程间调用的权限继承引用第三方产品权限没控制UAC绕过内存02内存泄露内存溢出内存中存在敏感信息文件01文件操作权限过大文件加载前没做校验文件(模块)加载方式没有安全控制措施UNC劫持Windows客户端程序测试方法举例信息泄露数据
8、存储安全检查日志、代码、二进制、配置文件、中间敏感文件、注册表、数据库、调试日志,是否明文储存敏感数据debugview数据传输安全性密码、SQL语句暴露,明文传输(登录、认证、数据库等)非必要的数据传输wireshark反调试程序反调试或叫反逆向分析IDA内存检查内存中是否存在明文敏感数据winHEX物理设备检查键盘防监听、U口、防截屏XT仿冒文件劫持DLL劫持、白利用、program劫持Process Hacker远程劫持远程线程劫持、远程代码执行注入工具消息HOOKSetWindowsHookEx()XTAPIHOOKLoadLibrary/LoadLibraryA/LoadLibrar
9、yWAPI MonitorSQL注入数据库签名检查签名有效性、签名校验signtoolPE检查导入表、Depends、manifestdepends、PEview拒绝服务溢出测试内存溢出、程序崩溃appverifier编译选项检查ASLR、DEPbinscope权限提升弱口令检查Admin,123等文件、注册表、进程权限检查本身的权限检查、调用链的权限检查、不同用户调用的权限合理性检查权限控制UAC生效测试阶段的安全测试创建验证预发布代码扫描编译选项检查签名验证PE分析mainifest检查二进制中敏感信息扫描配置文件中敏感信息扫描针对代码、二进制、文件,静态检查溢出、崩溃检查文件劫持扫描签名
10、校验远程注入检查数据传输、数据存储安全性检查消息HOOK检查API HOOK检查针对程序执行过程、中间生成物,动态检查常规安全checklist回扫针对发布产物高ROI、早发现、提高漏洞利用的门槛单 击 此 处 添 加 文 本 具 体 内 容,简 明 扼 要 的 阐 述 您 的 观 点。检查方法说明GOT写保护,尽量减少可写的存储区域RELRO堆栈溢出哨兵,当启用栈保护后,函数开始执行的时候会先往栈里插入cookie信息,当函数真正返回的时候会验证cookie信息是否合法,如果不合法就停止程序运行。CANARY代码段、数据段地址随机化,通过随机放置进程关键数据区域的地址空间来防止攻击者能可靠地
11、跳转到内存的特定位置来利用函数PIE(ASLR)堆栈禁止执行,基本原理是将数据所在内存页标识为不可执行,当程序溢出成功转入shellcode时,程序会尝试在数据页面上执行指令,此时CPU就会抛出异常,而不是去执行恶意指令。NX(DEP)常用函数加强检查,fority其实非常轻微的检查,用于检查是否存在缓冲区溢出的错误。FORTIFY编译选项检查检查方法说明PE文件检查PE文件的全称是PortableExecutable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件,PE文件是微软Windows操作系统上的程序文件.PE文件是指32位可执行文件,也称为PE3
12、2。64位的可执行文件称为PE+或PE32+,是PE(PE32)的一种扩展形式(请注意不是PE64)。PE文件的导入表中如果存在非系统文件,是一个不安全的加载操作。检查方法说明应用程序验证程序(AppVerifier)是一种适用于非托管代码的运行时验证工具,可帮助查找难以通过普通应用程序测试技术识别的细微编程错误、安全问题和有限的用户帐户特权问题。可以通过“Windows软件开发工具包”启用。检查方法说明单击此处添加标题工具signtool.exe、Process Explorer、Process Monitor、windbg、debugview、gflags,等渗透方法MITRE ATT&CK、NTCFT安全测试报告单击此处添加标题安全问题分级GBT 20986-2023 信息安全技术 网络安全事件分类分级指南安全测试报告可读性强包含问题概要、问题描述及复现、问题分级、影响范围、修复建议THANK YOU