认识达内从这里开始

网络安全问题随着互联网的不断发展而被越来越多的企业关注，今天我们就通过案例分析来简单了解一下，网络安全测试常用方法与应用分析。

(1)代码白盒扫描

①基于流水线源代码安全审计原子的master分支扫描

在部门刚开始做扫描时，使用流水线方式，优先流水线方式，实现持续的集成扫描，流水线主要步骤为：

扫描分支：master分支

触发条件：码提交触发、定时触发

邮件通知：通过邮件进行扫描报告链接下发

问题跟进：人工查看报告-漏洞分类整理-下发任务至研发

总结：

能有效地覆盖master分支的扫描，但是存在的问题是：

覆盖分支有限，造成非master分支漏洞遗漏;

如需新增覆盖分支，则需新建流水线，耗时不变;

人工方式的问题梳理，效率低，易出错。

②活跃分支的预防扫描

部署平台上的编译分支，除master外，其他编译分支也会产生漏洞工单。

仅进行master分支扫描，不能完全预防白盒漏洞问题。

故：抓取活跃分支-提交活跃分支代码扫描-形成全分支扫描覆盖

识别活跃分支：

安全代码扫描平台：

活跃分支扫描结果。

总结：

基于以上，实现了master分支+活跃分支的扫描覆盖，完全覆盖，可完全前置识别白盒漏洞问题。

(2)应用黑盒扫描

Step1：获取域名基于域名、解析IP的黑盒扫描。

**Step2：**白盒漏洞扫描执行：

整理漏洞扫描结果：

(3)提效工具开发

问题：白盒&黑盒扫描，包含【提交任务-获取结果-漏洞整理-问题下发】的实施步骤，过程中，纯手工操作：时间长，问题收集、整理，易遗漏&出错。白盒扫描覆盖率低，遗漏的问题形成工单。

方案：基于开放接口实现批量提交任务-获取结果-报告整理工具

收益：

效率提升：人工4小时->1小时，提效75%

覆盖率提升：master分支->近两周活跃分支+master分支，扫描覆盖率100%，发现更多问题，避免遗漏。

1.漏洞修复-闭环跟踪

完成白盒和黑盒扫描之后，要将扫出的漏洞推送至研发解决，以及完成漏洞的闭环跟踪验证。

(1)基于行云缺陷跟踪处理

•以应用对应的代码库为维度，进行安全漏洞扫描;

•一个代码库一次扫描出一份报告，报告中展示工程代码当前存在的所有安全类问题;

•每次扫描出的结果会在行云上记录一个问题，反馈到研发接口人，由研发接口人分配到具体研发;

总结：

•基于行云缺陷录入管理，录入过程耗时耗力，未实现自动录入;

•过程不精细;

(2)基于任务批量管理平台进行下发

•扫描完成之后->对问题进行整理->通过OE接口人(或OE接口)进行批量下发任务;

•研发修复解决;

(3)安全流程建设

•每周测试接口人、研发接口人，组织会议对本周安全工单、漏洞问题进行复盘;

•周二、周四上线日的黑白合扫描的常态化执行，发送安全测试报告邮件;

•每周安全测试周报;每月安全测试月报;

•研发安全自测意识建立，行云部署编译之前，使用平台进行自测;

1.浅析漏洞

(1)扫描原理-污点分析

•基于数据流的污点分析：

在不考虑隐式信息流的情况下，可以将污点分析看做针对污点数据的数据流分析。根据污点传播规则跟踪污点信息或者标记路径上的变量污染情况，进而检查污点信息是否影响敏感操作。

•基于依赖关系的污点分析：

考虑隐式信息流，在分析过程中，根据程序中的语句或者指令之间的依赖关系，检查Sink点处敏感操作是否依赖于Source点处接收污点信息的操作。

【免责声明】本文系本网编辑部分转载，转载目的在于传递更多信息，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与管理员联系，我们会予以更改或删除相关文章，以保证您的权益!请读者仅作参考。更多内容请加抖音太原达内IT培训学习了解。