owned this note changed 6 years ago
Linked with GitHub

從零開始加入自動化資安測試 - YSc

歡迎來到 Modern Web 2019 共筆

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

共筆入口:https://hackmd.io/@ModernWeb/2019
手機版請點選上方 按鈕展開議程列表。

Security is EVERYONE's job AWS CTO Werner Vogels

DevOps -> DevSecOps
在你心中的 DevOps 導入 Security

白帽觀點

流程

  1. Preparation
    • 商業價值
    • 標準化
    • 風險評估
    • 威脅模型
  2. Security Testing
    • 測試範圍
    • OWASP Testing Guide V4
      Image Not Showing Possible Reasons
      • The image file may be corrupted
      • The server hosting the image is unavailable
      • The image path is incorrect
      • The image format is not supported
      Learn More →
    • 測試自動化
  3. Hardening
    • 自動化過濾
    • 弱點分析、回報
    • 資安測試優化

威脅模型

  • What 你要保護什麼?金鑰?客戶資料?
  • Who 誰會攻擊? Script Kiddie?
  • Where 從哪攻擊?網站?功能?人?
  • How 怎麼攻擊?開源工具掃描?社交工程?

把電動放在別人那邊 讓別人承擔風險轉嫁

測試方法

  1. 靜態資安測試 SAST (用看的,沒有真的執行)
  2. 動態資安測試 DAST (真的跑起來,一個一個戳)

依照不同場合和特性執行

標準化

  • 威脅模型
  • 資安測試
  • 弱點評估

ASVS

Web Vulnerabilities

怎麼駭一個網站?從 OWASP Testing Guide 幫助測試網站安全

  • Information Gathering

  • Configuration and Deploy Management Testing

  • Identity Management Testing 檢查權限管理設定正不正確

  • Authentication Testing

  • Authorizing Testing

  • Session Management Testing

  • Data Validation Testing

  • Error Handling

  • Cryptograohy

  • Bussiness Logic Testing

  • Client Side Testing

自動化?

CI

Design

  • Security Architecture Design
    Code Commit
  • Runtime Application Self-Protection 機器上線後有沒有辦法自我保護
    CI Tests
  • Static Application Security Testing
    Code Review
  • Security Code review

CD

Stage Deploy

Tests

  • 靜態資安測試 SAST
    • security linter, misconfiguration
    • may false positive
    • quick check, language specific
    • tools: bandit (python), gosec (go), gixy (nginx configuration)
  • 動態資安測試 DAST
    • 耗時較久
    • 如果沒有 tune 的話會掃到天荒地老
  • 軟體組件分析 SCA
    • 相依性套件
    • 第三方函式庫、開發框架、Docker image、系統軟體套件
    • tools: Container analysis

Deploy
Release

盡可能把漏洞往上拉
漏洞越下面,成本越高

漏洞管理

把自動化的迭代做得更好

  • 自動化過濾 (Filter)
  • 嚴重性評估 (Access)
  • 報告 (Report)

自動化工具可以經由調教,越來越適合自己產品的狀況

資安的推動

由上而下
由內而外

tags: MW19
Select a repo