gi m o c . 5 b u h t 2014年3月,乌云平台连续披露了两个携程网安全漏洞,由于携程开启了用户支付 服务接口的调试功能,导致携程安全支付日志可被任意读取,日志泄露包括持卡人 姓名、身份证、银行卡类别、银行卡号、CVV码等。 漏洞一:业务权限问题 问题原因:处理用户支付服务接 口开启调试功能,使所有向银行 验证持卡所有者接口传输的数据 包均直接保存在本地服务器 m o c . 5 b u h t 漏洞二:系统权限问题 漏洞三:审计监控问题 问题原因:支付日志存储服务 器存在安全漏洞,导致越权遍 历目录,获得日志信息。 问题原因:违反银联规定将用 户信用卡信息留存于本地,幵 写入日志文件,导致黑宠通过 日志获得用户信用卡信息。 gi 2015年10月,补天漏洞响应平台再次爆出中国电信某系统的重大漏洞。通过该漏洞可以 查询上亿用户信息,涉及姓名、证件号、余额,幵可以进行任意金额充值、销户、换卡等 操作。10月29日上午10点,该漏洞已得到中国电信厂商确认。 漏洞一:弱口令问题 漏洞二:越权访问问题 漏洞三:信息泄露问题 问题原因:账号口令未进行强度 限制,导致黑客轻易猜测出口令 进入系统。 问题原因:登录系统后,可越 权访问。黑客借此可以収现更 多高危漏洞,访问敏感数据。。 问题原因:敏感信息存储时未 进行严格访问控制,导致越权 访问后直接获得用户隐私数据。 云南机场OA客户端应用被破解,泄漏大量机场员工的隐私数据和企 业内部的邮件数据,甚至包括重要领导人的航班信息。 m o c . 5 b u h t 漏洞一:应用破解问题 问题表现:通过调试手段获叏到应 用执行目录 问题原因:未采用应用加固技术, 应用代码未加密保护。 漏洞二:数据未加密存储问题 gi 问题表现:本地敏感数据未加密 问题原因:客户端存储的企业员工的电 话、邮箱、住址等信息和邮件信息未做 加密处理,能够被非法读叏。 2013-2015年国内知名连锁酒店(锦江之星、速八..)及高端洒店(万豪、喜来登、 洲际..)等网站存在高危漏洞,大量客户开房信息泄露姓名、身份证、手机号、开 房时间、退房时间、房型、家庭信址、信用卡后四位、信用卡截止日期及邮件等 漏洞一:外包商问题 漏洞二:数据明文传输 问题原因:都采用同一个外包商开 发的酒店管理系统,该系统存在众 多高危漏洞被黑客利用。 问题原因:用户敏感数据未做有效保护, 用户认证、传输采用明文方式实现 品牌或公 司形象受 到影响 g m o c . 5 用户敏 b u 感数据 h it 泄露 根据NIST等权威机构的报告,超过90%的黑客安全事故都发生在软件 应用本身,而不是在网络。 gi m o c . 5 b u h t gi m o c . 5 b u h t 造成应用自身安全缺陷的因素 应用开发过程 配置管理 认证授权 审核与日志 m o c . 5 b u h t gi 应用数据保护 加密技术 会话管理 输入/出验证 参数操作 异常管理 需求分析与 架构设计 代码实现 web应用程序安全 m o c . 5 b u h t 通 身份 访问 安全 剩余信 鉴别 控制 审计 息保护 gi 完 信 抗 整 保 抵 性 密 赖 软件 资源 容错 控制 性 标鉴会权标后审审审 鉴应版数系鉴应原接 输输状操 系帐系 识别话 限记台 计计计 别用权 据统 别用 发收 入出态作 统户统 管管管管管访范内保 信数注完完信数证证 验验管回 会进服 理理理 理理问 围容护 息据释 整整 息据 据据 证证理退 话程务 IT系统生命周期与信息安全 看得不够远,是因为站得不够高 做得不够好,是因为做得不够早 m o c . 5 b u h t gi 需求 设计 开发 看起来做的很多 却始终逃不出这么 个小小的圈子 上线 运维 其实信息安全可以做的更多 响应 Microsoft SDL(方案) IBM软件开发生命周期和Web应用安全解决方案(产品) FORTIFY SOFTWARE SECURITY CENTER (产品) Cisco CSDL Process (官方文档) m o c . 5 b u h t Oracle Secure Development (官方文档) (ISC)十个安全开发软件最佳实践(公开文档) CLASP — Comprehensive, Lightweight Application Security Process OWASP Top 10 2013 Web应用安全风险 gi WASC(Web application security consortium) Threat Classification OWASP软件保证成熟度模型(SAMM) Common Weakness Enumeration (CWE)/SANS Top 25 Common Vulnerabilities and Exposures (CVE) 美国国家安全局(NAS)发布的SSE-CMM V2.0模型 FIRST通用弱点评价体系(CVSS) V2.10 PMI项目管理知识体系(PMBOK) m o c . 5 b u h t gi Guidelines & Best Practices -Coding and test standards Inception followed -Security advisor assigned -Test plans developed and -Ensure security milestones understood executed (including fuzz testing) -Identify security requirements -Tools used (Code analysis) 指南和最佳实践 -遵循标准蚝编码和测试 项目启动阶段 -测试计划开发和执行 -代码分析工具的使用 -任命安全顾问 Design & Threat Modeling -设置清晰的安全里程碑 -Design guidelines documented -Threat models produced -识别安全需求 -Security architecture documented -Threat model and design review completed -Ship criteria agreed to 设计和威胁模型 -文档化的设计指南 -威胁模型分析 -文档化安全架构 -审核威胁模型和安全设计 11 Final Security Review (FSR) -Threat models reviewed Security Response Feedback -Unfixed bugs reviewed -New bugs reviewed (postmortem) -Tools/processes evaluated -Postmortems completed -Penetration testing completed -Documentation archived 最终安全审核 -重新审核威胁模型 -审核未修正的BUG -审核新BUG -完成渗透测试 -完成相关文档 RTM & Deployment -Signoff by security team 生产和部署 -安全团队签名确认 正式发布后12个月内修复的漏洞总数 m o c . 5 b u h t gi 采用SDL之前 采用SDL之后 漏洞总数降低了35% 高危漏洞数降低了63% Source: Browser Vulnerability Analysis, Microsoft Security Blog 27-NOV-2007 •专注于对开发、测试、安 全及安全人员在安全开发 全过程中的能力培养 问题知识库 代码安全指南 安全开发过程规范 •建立客户 化的安全开 发保障过程 体系、安全 开发规范与 标准 安全编码规范 安全审核检查表知识库 m o c . 5 b u h t 知识库Knowledge 人 员 Peo ple 需求安全分析 架构安全设计 威胁建模 过程 Process 技术 Technology gi 代码检查分析 代码风险评估 集成安全分析 白/黑盒测试 人员培训 事件响应处理 操作实践Practice •提供架构设计、开发编码、 测试以及部署运维过程中的 安全技术保障 代码检查工具 漏洞扫描工具 黑盒测试工具 工具Tools 安全培训 需求分析 安全设计 • 安全意识&流程 • 业务安全需求分析 • 威胁建模 • 安全开发技能 • 确认安全需求 • 行业安全实践 • 攻击面分析 安全开发 安全测试 安全上线 应急响应 • 安全开发规范 • 白盒测试 • 上线安全检查 • 漏洞预警 • Java开发规范 • 黑盒测试 • 配置安全 • 社工 • 上线Checklist • 防护手段(设备) m o c . 5 b u h t • 安全设计规范 • PHP开发规范 • HTML5开发规范 gi • 安全Checklist 项目安全评审&需求分析 安全培训&安全设计 上线前 安全测试 上线后 线上防御 响应 运营 • 漏洞发现及响应 • 应急服务 安全培训 需求阶段 设计阶段 安全开发培训阶段主要是通过安全开发技能 培训,帮助其了解安全攻防现状、安全编程 基本技能及软件安全最新趋势,为后续软件 m o c . 5 b u h t 安全开发生命周期管理落地实施奠定基础: 安全设计:减小攻击面、最小授权、威胁建模等; 开发阶段 gi 安全编码:验证输入、避免缓存溢出、程序内部安全、 安全调用组件、程序编写编译、使用安全、统一的编 测试阶段 码或转义方式等; 安全测试:黑盒测试、白盒测试、灰盒测试等; 上线阶段 安全开发最佳实践:(OWASP)Top10漏洞风险分析 及防范措施; 响应阶段 培训大纲 培训课程 白盒测试; 安全开发历史发展; 软件开发简介 安全开发的问题及其必要性; 软件安全开发测试 安全开发的好处以及成效。 软件安全开发模 型及安全开发框 架 安全软件开发生命周期; 计 Broken Authentication and session Manager (失效的认证和会话管理); 隐私开发设
企业软件安全开发实践 培训材料
文档预览
中文文档
51 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共51页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-05-14 13:06:01上传分享