AppScan黑盒安全测试技术介绍

•AppScan黑盒安全测试技术介绍•陈大金•IBMRationalAgenda•应用安全现状概览•应用安全防御技术简介•IBMRational应用安全解决方案•案例分析•Demo应用安全形势日益严峻严峻…Source:SymantecCorporation–InternetSecurityThreatReportVolumeXIV,April2009黑客技术在转移，防御手段却滞后……Source:SymantecCorporation–InternetSecurityThreatReportVolumeXIV,April2009大量应用安全攻击涌现…Source:IBMInternetSecuritySystemsX-Force®20091HTrend&RiskReport现状：以网络安全思路应对应用安全漏洞桌面桌面桌面桌面防火墙防火墙防火墙防火墙IDS/IPSWeb应用应用应用应用CrossSiteScriptingWebServerKnownVulnerabilitiesParameterTamperingDoSAnti-手工打补丁手工打补丁手工打补丁手工打补丁、、、、代码审核代码审核代码审核代码审核SQLInjectionPattern-basedAttackVulnerabilitiesCookiePoisoningPortScanningAnti-spoofingEncoded-basedAttackWebApplications现状：不平衡的投入%ofAttacks%ofDollars10%安全投入NetworkServer75%25%90%的信息安全攻击是针对Web应用层75%75%的Web应用存在安全漏洞2/32/3•IT安全通常关注仅网络和服务器安全通常关注仅网络和服务器安全通常关注仅网络和服务器安全通常关注仅网络和服务器–FirewallsandIPS不能阻止应用层攻击–80,8080,443端口开放–网络扫描器不能完全发现应用漏洞•Nessus,ISS,Qualys,Nmap,etc.•IT安全专家通常源于安全专家通常源于安全专家通常源于安全专家通常源于network/infrastructure方面方面方面方面,对软件开发经验较少对软件开发经验较少对软件开发经验较少对软件开发经验较少大量安全事故的根源•开发人员缺乏安全培训和要求开发人员缺乏安全培训和要求开发人员缺乏安全培训和要求开发人员缺乏安全培训和要求–64%的开发人员不具备编写安全代码的能力(来自MicrosoftDeveloperResearch)–开发人员不关心安全•缺乏明确的安全策略缺乏明确的安全策略缺乏明确的安全策略缺乏明确的安全策略、、、、流程以及工具流程以及工具流程以及工具流程以及工具Agenda•应用安全现状概览•应用安全防御技术简介•IBMRational应用安全解决方案•案例分析•Demo应用安全测试技术：单一技术向复合技术转变静态分析静态分析静态分析静态分析=白盒白盒白盒白盒•扫描源代码发现漏洞总共潜在的漏洞总共潜在的漏洞总共潜在的漏洞总共潜在的漏洞总共潜在的漏洞总共潜在的漏洞总共潜在的漏洞总共潜在的漏洞动态分析动态分析动态分析动态分析=黑盒黑盒黑盒黑盒
模拟真实的动态攻击以发现漏洞动态分析动态分析动态分析动态分析动态分析动态分析动态分析动态分析发现的漏洞发现的漏洞发现的漏洞发现的漏洞发现的漏洞发现的漏洞发现的漏洞发现的漏洞静态分析静态分析静态分析静态分析静态分析静态分析静态分析静态分析发现的漏洞发现的漏洞发现的漏洞发现的漏洞发现的漏洞发现的漏洞发现的漏洞发现的漏洞黑盒分析技术原理--SQL注入‘‘‘‘******12SELECT*fromtUserswhereuserid=‘’’ANDpassword=‘foobar’黑盒分析技术工作原理•第一步:爬网://mySite/editProfile.jsp://mySite/feedback.jsp—通过业界领先的方案，降低企业应用安全和合规风险应用安全应用安全应用安全应用安全、、、、质量以及合规质量以及合规质量以及合规质量以及合规应用安全应用安全应用安全应用安全、、、、质量以及合规质量以及合规质量以及合规质量以及合规PrivacyQualityAccessibilitySecurity+IBMRationalAppScan端到端应用安全解决方案需求定义需求定义需求定义需求定义需求定义需求定义需求定义需求定义编码编码编码编码编码编码编码编码构建构建构建构建构建构建构建构建安全安全安全安全安全安全安全安全投产投产投产投产投产投产投产投产测试测试测试测试测试测试测试测试AppScanStandardAppScanSourceAppScanTesterRationalDOORSAppScanonDemand(SaaS)AppScanEnterprise/ReportingConsole(enterprise-widescanningandreporting)Security/compliancetestingincorporatedintotesting&remediationworkflowsSecurityrequirementsdefinedbeforedesign&implementationOutsourcedtestingforsecurityaudits&productionsitemonitoringSecurity&ComplianceTesting,oversight,control,policy,auditsBuildsecuritytestingintotheIDEApplicationSecurityBestPracticesAutomateSecurity/CompliancetestingintheBuildProcessBuildDevelopmentRationalAppScan:-SourceEdDeveloper-SourceEdRemediation-EnterpriseQuickScanRationalAppScanRationalAppScan:-SourceforAutomation-StandardEd基于IBMRational的企业级应用安全测试平台QARationalAppScanEnterpriseportalSecurity-EnterpriseQuickScanRationalAppScan:-StandardEd-SourceEdforSecurityRationalAppScanTesterEdCompliance企业级应用安全测试平台——应用安全管理门户Agenda•应用安全现状概览•应用安全防御技术简介•IBMRational应用安全解决方案•案例分析•DemoXX银行WEB应用安全面临的问题XX银行多年来一直非常关注安全以及安全技术的应用，随着WEB应用安全问题日趋严峻，在WEB应用安全方面也开展了一定的工作和研究，包括手工渗透测试、外包服务、开源工具等方式，但依然缺乏全面覆盖、准确、行业成熟的WEB应用漏洞扫描和管理解决方案。因此，在日常工作中，面临着如下挑战：•大量WEB应用和网站需要进行WEB漏洞扫描，且WEB应用改版、变更频繁;•人工测试工作效率低，缺乏全面覆盖；•无法及时掌握和应对最新漏洞攻击技术，缺乏有效防范手段；•大量测试结果数据、报告的管理非常繁琐，缺乏高效跟踪和修复漏洞的平台；•缺乏开发、测试、运维等全员参与的流程和支撑平台；•管理层无法及时、准确、量化地了解和管理企业的状态，无法及时调整安全管理工作方向和重点。AppScan部署方案2021222324252627282930XX银行AppScan实施效果借助RationalAppScanEnterprise，搭建了XX银行企业级的Web应用安全管理门户系统，从而实现了开发、测试以及运维各部门参与的、全生命周期的管理。–能够扫描和管理数十个Web应用系统，能够实现每年数百次的扫描任务，大大提高了人员的效率，提升了安全覆盖的广度和深度，降低了Web应用系统的安全风险。–借助AppScan提供的仪表板、图表等，管理人员可以清晰、即时地查看每个应用的漏洞情况、问题修复的情况，从而可以迅速开展相应的安全培训、紧急会议等工作，提高了安全执行的效率。效率。–将WEB应用安全管理延展到开发、测试、以及运维三个部门，实现WEB应用安全责权的明晰化，有效地提升了安全的水平。–借助AppScan的用户管理、安全控制、限定扫描对象等，确保了平台自身的安全性，避免扫描工具的滥用、降低了漏洞信息泄漏的风险。–多大数十种的安全合规报告，使得银行未来全球部署的WEB应用系统能够很好满足国际安全标准和规范的要求。–借助IBMRationalAppScan产品和服务人员的知识传递，快速构建和提升技术团队的WEB应用安全管理和防范水平。Agenda•应用安全现状概览•应用安全防御技术简介•IBMRational应用安全解决方案•案例分析•Demo33