《Himo Zhu-京东IAST研究及实践(17页).pdf》由会员分享,可在线阅读,更多相关《Himo Zhu-京东IAST研究及实践(17页).pdf(17页珍藏版)》请在三个皮匠报告上搜索。
1、Himo Zhu/安全资深架构师安全资深架构师/京东京东京东安全资深架构师,主要负责安全基础设施、扫描产京东安全资深架构师,主要负责安全基础设施、扫描产品的研发工作,在抗品的研发工作,在抗DDos、营销风控、反黑产等领域具、营销风控、反黑产等领域具有丰富经验。加入京东前在中兴通讯、百度从事网络和有丰富经验。加入京东前在中兴通讯、百度从事网络和安全等方向的研发工作,曾负责构建百度安全等方向的研发工作,曾负责构建百度IDC流量防御流量防御相关系统、手百营销风控和渠道反作弊系统等。相关系统、手百营销风控和渠道反作弊系统等。京东京东IASTIAST研究及实践研究及实践Himo ZHU主要内容 IAST
2、介绍 京东IAST介绍 京东IAST关键技术2014年,gartner发布“Top 10 Technologies for Information Security”increased accuracy increased accuracy 准确性准确性。interaction of SAST and DAST interaction of SAST and DAST 融合技术confirm or disprove exploitabilityconfirm or disprove exploitability 证明能力证明能力orginorgin appliationappliation c
3、ode code 定位源代码Interactive Application Security TestingInteractive application security testing(IAST)combines static application security testing(SAST)and dynamic application security testing(DAST)techniques.This aims to provide increased accuracy of application security testing through the interacti
4、on of the SAST and DAST techniques.IAST brings the best of SAST and DAST into a single solution.This approach makes it possible to confirm or disprove the exploitability of the detected vulnerability and determine its point of origin in the application code.IAST的提出IAST技术全景(java)京东IAST架构京东IAST关键技术(ja
5、va+tomcat)污点传播技术 栈签名算法 组件分析技术 逻辑漏洞讨论污点传播问题思路:请求添加污点魔数,tomcat线程机制和threadlocal,保证污点路径session唯一。栈签名算法思路:运行时信息标准化,栈信息转化为时序信息,构造trie树,对节点路径签名,生成规则。训练方法&示例组件分析思路:类加载时,在transform()方法进行验证。逻辑漏洞探讨IAST识别逻辑漏洞的理论:单元测试、集成测试,仍然是发现逻辑漏洞的最好阶段,是优单元测试、集成测试,仍然是发现逻辑漏洞的最好阶段,是优于安全测试的途径于安全测试的途径。对于任意的web资产A,参数P,和安全测试过程记为 f(A
6、,U,P),其中,p1,p2,pN?IAST识别逻辑漏洞的方法:1.在参数P里确定权限因子权限因子。权限因子指,对于p?,如果进行FUZZ测试,会导致f结果不同,则其为影响权限因子,简称权限因子。非权限因子,都有存在逻辑漏洞的可能,需要QAQA标注或者标注或者策略识别误报策略识别误报。2.对于权限因子,需要进行再次进行FUZZ测试,以确定有访问限制,不可重入,不可被利用。3.对于资产树中某个节点A,如果未通过逻辑漏洞测试,则资产树此节点所在链路,进行深度遍历,都有垂直越权的风险。示例避坑经验 不要把IAST做成RASP或者waf。不要把IAST等同于黑盒。不要过分依赖QA的功能测试,所以我们需要做模糊测试。IAST要识别路径或者模式。IAST要融合黑白盒的优势。IAST可以把大多数漏洞留在线下!训练方法1.提取资产和参数http:/ 结合响应和运行栈信息,可以确定vendorNo为权限因子,limit、page、total为非权限因子3.3.权限因子测试权限因子测试FUZZ测试2。limit=10&page=1&total=1&vendorNo=x0000000000000000limit=10&page=1&total=1&vendorNo=x9460730472580801 根据响应和运行栈信息,可以确定vendorNo没有限制次数,可以被利用(爆破)。