《2019年应用服务系统安全测试的标准化.pdf》由会员分享,可在线阅读,更多相关《2019年应用服务系统安全测试的标准化.pdf(16页珍藏版)》请在三个皮匠报告上搜索。
1、应用服务系统安全测试的标准化目录目 录建设背景应用系统标准化安全测试设计与实践后续展望依托渗透测试方法,以入侵被测系统、控制服务器、获取系统信息为目标,寻找一条可行通路进入系统达到目的即停止,不查找系统所有漏洞。系统性全面排查缺陷的能力不足技术能力不同、关注点不同,则测试结果不同,仅依托个人责任心和工作能力,无法衡量工作量和工作质量。自主安全技术能力不足经过历年开发与安全的共同协作,外部检查中发现的高风险漏洞大幅降低,合规类漏洞数量增加。(如软键盘乱序)外部检查合规缺陷增加2018年,为进一步加强安全管理,部门从各角度颁布多个安全技术规范,但如何落地执行缺乏有效方法和手段。安全规范有效落地不足
2、工作背景(挑战)制定统一的安全技术标准和标准的安全测试案例库,将个人技术能力转化为我行安全技术能力并不断发展完善。打造自有安全技术能力制定案例库、改造测试工作流程,实施全面安全测试,提升技术深度和覆盖广度,指导测试工作有序标准化实施,提升安全测试能力。提升安全测试效果标准化测试流程与测试方法,降低因个人能力不同测试结果不同的现状,也为量化考核提供依据。降低个人技术依赖工作背景(目标)312统一的技术要求安全测试标准化标准的测试方法规范的测试管理整合各类安全技术规范;制定场景化安全测试案例库;严格实施测试管理流程;定期追溯测试结果;工作推进思路(标准化规范化)目录目 录建设背景应用系统标准化安全
3、测试设计与实践后续展望安全测试通过模拟“恶意黑客攻击”的测试手段,来评估系统安全性的一种评估方法,这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析,是验证应用安全和识别潜在安全缺陷的过程。移动互联系统应用安全测试在互联网上直接访问,面向客户、行员提供服务的系统,包括APP、WEB、微信,与第三方接口不在测试范围内。操作系统、数据库、中间件、网络业务功能业务逻辑安全缺陷等开发框架缺陷、源代码缺陷等系统漏洞、配置缺陷、日志敏感信息等软件实现硬件设施机房环境硬件后门等电磁泄露等移动互联系统应用安全安全测试工作流程根据需求内容判断是否需要安全测试需求分析根据场景化安全测试案例库选取适当的测试案例
4、,制定测试计划(方案评审)案例选取手工测试:根据场景化安全测试案例库中标准化测试步骤开展自动化测试:依托自动化测试平台开展案例执行对发现缺陷进行跟踪复测,直至全部修复缺陷修复形成测试报告(投产评审)报告审批报告审批案例执行需求分析案例选取缺陷修复场景化安全测试案例库(一)概述业务功能:注册与登录、敏感信息查询、金融交易、业务申请、demo测试等功能组件:身份鉴别、设备标识与认证、页面输入、文件上传下载等业务场景功能场景访问控制、接口安全、数据安全系统场景会话管理:会话回退、会话关闭等配置管理:客户端配置、网络配置、服务器配置、部署管理等审计管理:日志与审计场景化安全测试案例库(二)具体内容案例
5、名称测试目的(意图)测试条件(数据需求)测试场景测试步骤检查指引期望结果 测试结果转账汇款篡改验证转账汇款功能数据完整性保障机制是否存在风险1.完成开户和电子渠道开通;2.用户信息(用户名/手机号、登录密码、关联账号)转账汇款1.登录账号,设置代理抓包,分别拦截并修改各步骤请求报文:(1)点击转账汇款,获得请求报文;(2)输入转账信息,点击下一步,获得请求报文;(3)点击获取验证码,输入验证码,并输入密码,点击提交,获得请求报文。(4)修改各步骤请求报文中的“付款账号、转账金额、收款账号、收款人姓名、收款人手机号”;2.分别发送修改后的请求报文;3.拦截各步骤的响应报文;4.检查是否有成功的响
6、应报文。若存在,则说明存在数据篡改风险。1.应用系统通信过程中应使用校验码技术保证通信过程中数据的完整性,所有涉及资金、账务等敏感信息变动的交易报文必须调用MAC加密类接口进行完整性校验;2.应对交易数进行数据签名,签名数据除流水号、交易金额、转入账号、交易日期和时间等要素外,还应包含由服务器生成的随机数据,服务器应验证签名的有效性并安全存储签名。系统提示报文解析失败。序号场景类别子序号应用场景风险项检查点案例名称测试方法适用范围风险等级适用类型1 访问控制1.1 会话会话回退(1)页面后退会话回退-页面回退手工全部严重web/app/公众号(2)直接输入访问地址会话回退-直接输入访问地址手工
7、全部严重web/app/公众号会话关闭(1)会话空闲超时会话关闭-空闲超时系统测试全部一般web/app/公众号会话状态(1)运行状态提醒会话状态-运行状态提醒系统测试全部一般web/app/公众号1.2 业务管理 账户管理(1)账户禁用与启用业务管理-账户管理-账户禁用及启用访谈全部严重web/app/公众号(2)默认账户控制业务管理-账户管理-默认账户控制访谈全部严重web/app/公众号(3)临时账户管理业务管理-账户管理-临时账户管理访谈全部严重web/app/公众号账户权限管理(1)多重授权机制业务管理-账户权限管理-多重授权机制访谈全部严重web/app/公众号(2)账号&权限关系
8、映射业务管理-账户权限管理-账号与权限关系映射访谈全部严重web/app/公众号(3)手机号&客户号&账户关系映射业务管理-账户权限管理-手机号客户号账户关系访谈全部严重web/app/公众号(4)转授权功能控制业务管理-账户权限管理-转授权访谈全部严重web/app/公众号自动化测试平台安全测试覆盖基础设施层系统层业务层身份仿冒行为抵赖篡改越权查询逻辑绕过请求重放批量注册暴力破解撞库攻击拒绝服务越权修改验证码攻击会话管理失效源代码层会话管理失效逻辑绕过注入请求重放开源代码缺陷越权查询修改反编译|调试XSS批量注册文件上传功能级访问控制缺失硬编码安全配置不当安全补丁缺失病毒木马后门拒绝服务攻击
9、已知漏洞利用0-day漏洞通讯中断能源中断自然灾害人为破坏Web&APP不安全http方法不安全传输主机头攻击敏感信息泄露CSRFSSRF跨域访问使用已知缺陷组件文件包含命令|代码执行反编译|调试目录遍历私钥泄露文件下载注入XSS文件上传功能级访问控制缺失重定向和转发框架钓鱼弱口令中间人攻击自动化工具实施人工实施安全评审方案评审投产评审需求变更内容测试计划(案例选取、人员时间、关注要点)注意事项(环境准备、数据准备)案例执行情况(环境不通、使用挡板、数据不全)缺陷发现情况缺陷修复情况参与人员:资深安全专家、安全测试经理、开发人员、安全测试人员经验积累其他通过电子化、精细化管理,加强工作能力、提
10、升工作效率。安全测试结合外部通报漏洞开展自查,形成闭环追溯机制,不断改善定期问题追溯每日报工、核算工作量、项目组评价精细化项目组管理结合测试人员情况分级分类管理,量才为用分层分级人员管理需求管理、测试管理、缺陷管理全电子化工作流程目录目 录建设背景应用系统标准化安全测试设计与实践后续展望待完善对于前沿技术,如生物识别、地理位置等,还需进一步对存在的风险进行深入研究。改进措施:持续跟踪最新技术,不断完善技术深度有待提升。改进措施:结合外部发现漏洞情况与自有技术研究,不断完善随着安全测试自动化测试平台的搭建和完善,不断提升自动化测试,提高效率和能力有待进一步优化。改进措施:通过对自动化工具深入研究和自研自动化工具逐步提升测试能力此处添加文本内容此处添加文本内容此处添加文本内容010203此处添加文本内容此处添加文本内容此处添加文本内容此处添加文本内容此处添加文本内容此处添加文本内容对于前沿技术,如生物识别、地理位置等,还需进一步对存在的风险进行深入研究010203不断提升技术深度不断提升自动化测试THANKS