• 中国遥感卫星地面站成功接收高分六号卫星数据 2019-06-28
  • 乡镇纪委做指导 村务监督更有力 2019-06-27
  • 火爆!可兰白克两引冲突掀翻对手 杜锋直接换他下场 2019-06-27
  • 自然型社会和规则性社会,是会随着科技的改变而发生改变的,当然只有规矩也就是制度才能规范人的行为,所以国家是不会灭亡的,但国家的形式是会发生改变的。 2019-06-25
  • 虾仁-热门标签-华商生活 2019-06-16
  • 鹰潭高新区打造非公党建示范带 2019-06-11
  • 紫光阁中共中央国家机关工作委员会 2019-06-06
  • 中华民族一家亲 同心共筑中国梦 2019-06-04
  • “5·15”全国公安机关打击和防范经济犯罪宣传日 2019-06-03
  • 激情世界杯熬夜看球 谨防泌尿疾病“亮红牌” 2019-06-03
  • 肯尼亚蒙内铁路乘务员掠影(高清组图) 2019-05-23
  • 12亿次电话“呼死你”? 83万余个账号被封停! 2019-05-21
  • 新型国际关系擘画人类未来 2019-05-18
  • 习近平同哈萨克斯坦总统纳扎尔巴耶夫举行会谈 2019-05-18
  • 宝鸡市陈仓区党员干部助力夏收帮扶困难群体 2019-04-13
  • |
    |
    51CTO旗下网站
    |
    |
    移动端

    聊一聊应用安全那点事

    对于应用产生的整个生命周期来讲,在上线之前没有考虑安全,带洞上线,从而导致大量的用户隐私泄漏,最终的受害者还是使用应用的用户,经过多年安全人员的努力,企业对于安全也慢慢重视起来,那么如何做好应用安全呢?

    作者:myh0st来源:信安之路|2019-07-01 14:55

    广东11选五精准计划 www.flxp.net 从我最开始学习安全接触的就是 web 安全相关,当时的自己完全不明白学习的意义是什么,只知道学习了 web 安全可以去网络上寻找存在漏洞的应用,拿到 webshell、然后提升权限到系统最高权限,这一个流程下来基本就达到了顶峰,在突破的时候是最有成就感的,我相信有非常多的同行是在这样的情况下入行的。web 安全就是应用安全中的一部分。

    说到应用,什么是应用?百度百科上说的一句 适应需要,以供使用 ,在现在的互联网时代,所有的软件都可以叫应用,他们的产生是为了满足我们的日常需求,方便我们的衣食住行,多年前是 PC 互联网的时代,近几年进入了移动互联网时代,未来会是物联网时代、人工智能的时代 等等,随着科技的进步,安全的需求也在不断发生着变化,近几年做渗透的朋友越来越感觉到难做,web 的安全漏洞越来越少,这可以说是时代的进步、安全意识的提升、代码安全性增加、应用主战场的变化 等等一系列因素的结果,这对于安全行业来说是好事,整体安全性在不断提升,侧面说明我们安全从业人员的价值体现。

    对于应用产生的整个生命周期来讲,考虑安全越早越好,早期的应用主要是为了实现功能、快速上线,互联网行业迭代更新非???,时间就是竞争力,只有在业务因为安全问题而出现重大损失的时候才专门去招人或者购买安全服务进行及时止损,在上线之前没有考虑安全,带洞上线,从而导致大量的用户隐私泄漏,最终的受害者还是使用应用的用户,经过多年安全人员的努力,企业对于安全也慢慢重视起来,那么如何做好应用安全呢?

    SDLC 大家都听过,翻译过来就是软件开发生命周期,是为了规范开发的流程、提升开发效率、增强代码质量,做到闭环,SDLC 包含五个阶段:需求分析、设计、编码、测试、发布,如图:

    SDLC

    但这里并没有把安全考虑进去,我们是否可以将安全贯穿到整个软件开发的生命周期呢?如何做?请看下图:

    1. 在需求阶段做风险评估,提前将风险识别出来,作为安全的需求提交给研发,不只是功能上的,还包括一些架构不合理的地方,这对安全人员对能力要求是非常高的;
    2. 在设计阶段做威胁建模、安全参与进行设计 review,指出设计存在的安全威胁,共同完成安全的设计方案;
    3. 在开发阶段,要进行代码 review,提前做代码审计通过人工或者自动化的方式,这里对安全专业人才的需求也很高;
    4. 在测试阶段进行安全评估,也就是安全测试或者渗透测试,通过黑盒的方式找出安全 bug,在上线之前解决掉,可以用功能测试的小伙伴进行合作或者其他的方式;
    5. 在发布阶段要对主机进行安全检查,升级最新补丁、关闭无用端口等,将攻击面降到最低;
    6. 上线之后,通过开始 SRC 平台接收来自白帽子的漏洞提交,补充安全测试不足,做到闭环;

    经过上面的一系列操作之后,可以将大部分的安全问题扼杀在上线之前,从而大大降低应用的安全风险,但是完全这么做是需要大量的人力和时间的,对于大部分企业来说是不可能完全做到的,因为可能因为流程的复杂度或者人员的能力问题,造成项目的延期、错事商机,具体做不做以及怎么做,需要上层领导的支持,不同公司的情况不同,需要制定的流程也不一样,落地情况也不同。

    理想的情况下是完全按照上面的流程做每一个项目,这是多少安全负责人的理想,可是往往投入产出比不那么好看,得不到领导的支持,参与流程的同事也很抵触这么做,毕竟增加工作量多事,不是所有人都愿意做的,所以作为安全人员并不能强迫大家都按照你的要求来做,就需要平衡我们与开发人员之间的关系,在不增加别人工作量的同时,提升软件安全性,在规范流程的同时,提升自动化能力,将研发当作我们的用户,我们是为业务服务的,而不是监管机构。

    今天就聊到这里吧,想要落地这个并没有那么容易,也不是每一家公司都能做到,在自身人力不足的情况下还是不要做这个,做好渗透测试,在恶意攻击之前发现安全问题,推动开发尽快修复安全问题,如果业务系统比较多,自身无法覆盖全面的渗透测试,可以开设 SRC 集白帽子之力来帮助企业发现安全问题,然后自研扫描器,将历史安全问题集成到扫描器中,保证历史安全问题不再出现,我们的价值也就能够很好的体现了,安全无止境,共勉!

    【编辑推荐】

    【责任编辑:赵宁宁 TEL:(010)68476606】

    点赞 0
    大家都在看
    猜你喜欢

    订阅专栏+更多

    16招轻松掌握PPT技巧

    16招轻松掌握PPT技巧

    GET职场加薪技能
    共16章 | 晒书包

    275人订阅学习

    20个局域网建设改造案例

    20个局域网建设改造案例

    网络搭建技巧
    共20章 | 捷哥CCIE

    642人订阅学习

    WOT2019全球人工智能技术峰会

    WOT2019全球人工智能技术峰会

    通用技术、应用领域、企业赋能三大章节,13大技术专场,60+国内外一线人工智能精英大咖站台,分享人工智能的平台工具、算法模型、语音视觉等技术主题,助力人工智能落地。
    共50章 | WOT峰会

    0人订阅学习

    读 书 +更多

    精通ASP.NET 2.0+XML+CSS网络开发混合编程

    本书以最新的ASP.NET 2.0为基础,详细阐述了当前网络开发的经典架构ASP.NET 2.0+XML+CSS的各个知识点,以及SQL Server 2005的相关知识。全...

    订阅51CTO邮刊

    点击这里查看样刊

    订阅51CTO邮刊

    51CTO服务号

    51CTO播客

    广东11选五精准计划
  • 中国遥感卫星地面站成功接收高分六号卫星数据 2019-06-28
  • 乡镇纪委做指导 村务监督更有力 2019-06-27
  • 火爆!可兰白克两引冲突掀翻对手 杜锋直接换他下场 2019-06-27
  • 自然型社会和规则性社会,是会随着科技的改变而发生改变的,当然只有规矩也就是制度才能规范人的行为,所以国家是不会灭亡的,但国家的形式是会发生改变的。 2019-06-25
  • 虾仁-热门标签-华商生活 2019-06-16
  • 鹰潭高新区打造非公党建示范带 2019-06-11
  • 紫光阁中共中央国家机关工作委员会 2019-06-06
  • 中华民族一家亲 同心共筑中国梦 2019-06-04
  • “5·15”全国公安机关打击和防范经济犯罪宣传日 2019-06-03
  • 激情世界杯熬夜看球 谨防泌尿疾病“亮红牌” 2019-06-03
  • 肯尼亚蒙内铁路乘务员掠影(高清组图) 2019-05-23
  • 12亿次电话“呼死你”? 83万余个账号被封停! 2019-05-21
  • 新型国际关系擘画人类未来 2019-05-18
  • 习近平同哈萨克斯坦总统纳扎尔巴耶夫举行会谈 2019-05-18
  • 宝鸡市陈仓区党员干部助力夏收帮扶困难群体 2019-04-13
  • 多特蒙德ⅤS美因茨 金钱木乃伊客服 vr赛车游戏设备 北京赛车pk10开奖5码 百发百中彩票 吉林快三微信群96最新 极速十一选五龙虎技巧 热血传奇手机版符石怎么获得 轩辕传奇天雷兽怎么炼化 福彩门户 红熊猫 万达分分彩走势图 拳皇命运不知火舞 墨尔本胜利Vs大邱 趣味台球返水 神之恩惠2元彩票网