Sunday, October 25, 2015

安全产品目录


安全产品目录为建立适应业务的立体网络安全防御体系提供选型参考。

安全产品目录

Security Development Lifecycle, 将安全要素融入到应用开发项目的每一个阶段,是一种强化安全内控的项目管理。
使用场景: 提供项目管理流程(融入安全要素),作为项目管理平台使用,贯穿项目管理全过程。
Web Vulnerability Scanner及其它扫描工具。
使用场景: 项目上线前,测试阶段,检测Web应用是否存在典型的漏洞。
Web Application Firewall,硬件WAF设备、软件WAF、云WAF等。
使用场景: 用于正式的生产环境,作为Web安全防御的基础设施,将新上线的产品纳入保护范围。
风险管理、资产管理、补丁管理、IT服务管理(配置管理/变更管理/事件管理/问题管理/发布管理)等
使用场景: 贯彻企业安全策略,引入支撑安全管理业务的相关IT技术系统或平台。
防病毒软件、安全卫士、安全管家、基于主机的入侵防御软件(HIPS)、个人防火墙软件、手机安全软件等。
使用场景: 办公计算机、BYOD移动办公终端(手机/Pad)等。
安全检测工具软件,如HTTP代理及重放工具等。
使用场景: 在项目测试阶段,辅助进行安全测试。

Wednesday, October 7, 2015

提供SDL SaaS服务是降低SDL实施门槛、推广SDL的必经之路

《微软SDL水土不服,国产SDL走向何方?》中提到了SDL在国内难以推广的尴尬局面。
Janusec的安全研究员分析认为,造成SDL(安全开发周期)推广难的主要原因有:
首先,缺少专业的安全人员。SDL是一项系统性的工程,其推广和落地,在安全需求、安全设计、方案评审与风险评估、安全测试、安全部署各个环节均离不开安全人员的参与,均高度依赖于安全人员的专业水平。SDL的众多活动环节,需要不同的安全专业人员进行把关,而且需要建立相应的策略、标准、规范、模板或Checklist,以及建立相应的组织,明确角色和职责分工,这是一项比较浩大的工程。大型公司有较大的财力,能够聚集一批安全人才,逐步建立起适应各自业务的SDL体系;但中小公司往往聚焦在业务上,没有太多精力关注安全,也没有招募大批安全人才的意愿,难以建立起一个满足SDL基本要求的团队。SDL这套体系本身,也只有亲自实践过SDL的安全人员,才能有比较深的理解和体会。缺少这类人才,实施SDL的这道门槛就难以跨越过去。
其次,实施及运维成本太高。SDL的相关咨询服务,以及相关IT产品(包括项目管理类产品、IT服务管理类产品、SOC或安全应急响应类产品)的引入、改进、实施、运维,均需要较高的成本,以及维持团队的日常运作,对于中小型公司来说不是一笔小数目。
因此,要降低推广SDL的难度,就要降低对专业安全人员的过度依赖、降低实施的成本。Janusec认为,提供SDL SaaS(软件即服务,即直接提供基于SDL的在线安全开发周期管理平台)服务是降低SDL实施门槛、推广SDL的必经之路。使用SDL SaaS服务之后,可以降低对专业安全人员的依赖,也节省了采购SDL咨询服务,以及项目管理、IT服务管理等产品的费用。
鉴于此,Janusec决定简化SDL并提供免费的SDL SaaS服务,将”专业安全人员”这个角色和实施SDL所需的相关IT产品转移到SaaS服务提供方,直接提供安全最佳实践,以在线Checklist的形式提供,在流程中,直接创建本阶段对应的安全任务,使用Checklist自检 + 复核/风险评估 的模式,大幅降低安全落地的难度。它源于SDL(安全开发周期)方法论,但又不拘泥于SDL的限制,将它和国际/国内巨头公司的项目管理实践结合起来,从源头开始进行安全控制,通过规范的项目管理过程和关键任务的引入,确保开发设计及部署过程中遵从安全最佳实践,保障所交付产品在全生命周期过程中的安全性。

令狐冲的研发项目管理SDL(安全开发生命周期)引进手记

【事件背景】
话说令狐冲所在的华山剑派的信息技术部,最近又出事了!
原来,他所在的开发团队发布的一款名为“华山剑谱”的手机App被人发现含有木马,经过了解,原因是开发工具不是官方正版的,而是从网上下载了一个被植入木马的Xcode修改版。这谁能想到啊!
而就在前不久,“华山剑谱文化推广”网站也被入侵了好几次,内部电子资料被黑客悉数拿走,甚至连来网站购买纪念品的全部用户隐私资料也泄露了,这些资料包括姓名、手机号、地址等,如果被用于诈骗,那后果严重去了。
老大岳不群很生气,责成令狐冲想办法,不能再出事了!!!
能怎么办?
咱们华山派可不像少X派那么有钱,没办法花几百万去买个咨询服务帮忙规划一下,再花上几千万购买他们建议的设备、软件,还有每年的维护费也得几百万呢。招聘几个安全专家?令狐冲打算算一下可能需要多少钱,等等!老大会批安全预算?还是算了吧。令狐冲本想去找岳不群聊一下钱的问题,可按照对老大一贯的了解,又止步了,他没去都能想到答案:你们自己想办法搞定!因为前年购置办公设备的费用也是砍了又砍,最后购买的低配电脑,现在都卡成翔了!
没有专业的安全人员帮忙把关,只能自己学习摸索,照着开发教程做的开发,后来发现坑太多了,每发生一次入侵事件,就能发现一个或几个坑(不安全的编码),后面继续开发的时候,就提醒自己记得绕过这些坑。有时候遗忘了,这些坑还没有排查,新版本已经发布出去了。不断的有一些新的坑被发现,或者是老的坑没有检查又被人挖出来,所以,网站还是经常被黑客光顾。
【寻找解决方案】
好在混迹江湖这么多年,朋友不少,其中不乏一些安全圈的,有的供职于知名互联网企业,也有的专职安全服务,就打算了解一下他们是怎么做的。一通电话下来,总算摸清了一些门道:
 小公司基本没有自己的安全人员,安全方面基本不考虑,漏洞只能发现一个解决一个,业务上都忙不过来,哪里会关注安全呢,跟咱们自己的情况很像。
 中等规模的公司有自己的安全人员帮忙把关,有一些基本的规范和不是很完善的流程,即使被发现漏洞,也基本能够得到及时处理。
 大公司都有自己的安全团队和一套体系化的方法论、IT系统和流程来支撑,有安全内控管理体系,有流程化的作业方式,有人负责管理策略、有人负责技术标准、有人负责流程、有人负责评审、还有人负责实施,分工协作,各司其职。
看来,中小公司的做法基本没有什么参考价值了。
问了大公司的朋友,我们能否效仿?
得到的回答是,你这规模太小,我们光维持这套流程体系的正常运转就有好几百人呢,而且所用到的系统还是公司自己开发的,公司有版权,这个是不能给你的;不过,你可以看看外面的安全服务,有些做的还不错。
安全服务是个什么鬼?经过一番了解,有一些专门对外提供安全服务的公司,有做渗透测试为主的(咨询为辅)、有做众包测试(就是一群白帽子黑客帮你测试)的,目前流行的是众包测试。令狐冲心动了,经熟人推荐,找到一家众包测试公司,并找老大申请到少量预算,体验了一番,结果还真的很给力,白帽子帮他找到了几十个高危漏洞并给出了改进建议。
看到这些报告,令狐冲安排信息技术组的几个人,按照建议(过滤输入等),很快把这些漏洞中的大部分堵上了。入侵事件目前看来是消停了。
过了一个月,又有新版本上线,上线之后,你猜怎么着?
没错,又被入侵了!经人指点,这次黑客使用的还是老漏洞,只不过,手法稍微变化了一点。真是防不胜防啊!令狐冲感叹道。
后来,令狐冲慢慢了解到:
 做好安全是一项系统化的工程,就算是业界知名的安全产品或安全解决方案,也都是只能解决某些针对性的问题;
 没有任何一款产品能够解决目前面临的所有安全问题,没有一劳永逸的解决方案;
 大公司都有一套自我完善的安全体系,攻击方式层出不穷,应对策略也应逐步适应、随机应变!
 令狐冲武功再高,也斗不过一支军队!靠个人英雄的时代已经过去了,需要逐步建立一套适应自己业务的安全体系,并不断的去完善它;
 原来大公司里面用的那一套体系,名字叫做SDL,它是Security Development Cycle(安全开发周期)的缩写,从源头开始进行安全控制,通过规范的项目管理过程和关键安全任务的引入,确保开发设计及部署过程中遵从安全标准与规范,保障所交付产品的安全性。
原来,大公司的秘密武器就是这个叫做SDL的东东!
那么,我们这么小的团队,可以实施SDL吗,我们根本没有经验,也没有人熟悉这个领域。如果有现成的网站提供SDL SaaS服务,我们不就可以立即开始搭建我们自己的安全体系了吗。后来,一个朋友悄悄告诉他,有个叫做Janusec的公司提供了一个免费的SDL SaaS服务平台。
【SDL SaaS试用体验】
令狐冲按照朋友的指引,找到了这个SDL SaaS服务平台(http://saas.janusec.com )。
按照网站上的说明,这是一个以强化安全内控为特色的在线项目管理平台,它源于安全开发周期方法论和国际/国内巨头公司的项目管理实践,从源头开始进行安全控制,通过规范的项目管理过程和KCP任务的引入,确保开发设计及部署过程中遵从安全标准与规范,保障所交付产品在全生命周期过程中的安全性。
令狐冲注册了一个账号,并且把小伙伴岳灵珊、任盈盈、仪琳,还有师母宁中则、老前辈风清扬、江湖朋友东方不败等都拉了进去,开始体验:
首先,建立起自己的产品团队:
myteam
创建了自己的项目(按照产品的版本进行立项,一个版本就是一个项目):
projectlist
首页看起来是这个样子:
front
特色简介:
feature
其实,令狐冲发现最主要的特色是在这里(自动添加关键任务):
projectinfo
点击打开项目详情,可以看到全部的KCP任务:
kcplist
令狐冲看到项目中已经自动添加了好多任务,都是以KCP开头的,这个KCP是个什么鬼?到该平台的术语中一查,原来KCP就是这个:关键控制点(Key Control Point),或关键检查点(Key Check Point),属流程中可选的重要任务节点,如果该节点未通过审核或者未正常完成,则不能进入下一阶段。
devcheck1
而且,针对客户端的自检项和针对Web的自检项还有点不一样:
devcheck2
“咦,第一条就跟最近的安全事件有关耶”,令狐冲一拍大腿,然后喊旁边的岳灵珊过来看。开发的小伙伴听到了,一起围过来。
令狐冲趁机向大家介绍了SDL安全开发周期与流程管控的机制:
设计阶段有安全设计自检,规避方案设计上的安全风险;
开发阶段有安全开发自检,提前发现代码问题与纠正;
测试阶段有安全测试自检,提供安全测试用例,通过这些用例,高危漏洞基本就排除掉了;
上线后,有安全部署自检,看看有哪些措施还没有做,执行一条就确认一条,不制造低级的错误,如弱口令、不该对外网开放的端口对外公开、使用root权限运行业务逻辑或应用中使用数据库root账号等。
deploycheck
自检之后,还有一个复核环节,让在安全方面有经验的人员复核,可以提前规避大多数问题、低级错误等。
令狐冲当即决定,以后我们也实行SDL了,把手上的几个项目管理起来。
【后记】
自从使用了这套SDL安全管控平台以后,安全上不再手忙脚乱了。令狐冲已经做到了心中有数、处变不惊。
虽然,偶尔仍有漏洞报告过来,但是频度和次数已经远远小于从前,不断改进优化,最近他们已经2个月没有收到漏洞报告了。
令狐冲终于不再被无休止的入侵、APP漏洞等事件烦扰,他终于又可以和小伙伴们一起愉快的玩耍了,什么冲灵剑法、辟邪鞭法、竹林弹琴等。

Saturday, February 7, 2015

The Practice of Web Application Penetration Testing


How to build a web security penetration testing environment?
How to use brute force tool?
How to SQL Injection?
How to XSS?

Please refer to:

The Practice of Web Application Penetration Testing (pdf 1.0MB)


The Practice of Web Application Penetration Testing Online


WebCruiser Web Vulnerability Scanner 3.2.1 for Windows

WebCruiser – Web Vulnerability Scanner, a compact but powerful web security scanning tool! It has a Crawler and a Vulnerability Scanner (SQL Injection, Cross Site Scripting etc.).
It can support scanning website as well as POC (Proof of concept) for web vulnerabilities: SQL Injection, Cross Site Scripting, Local File Inclusion, Remote File Inclusion, Redirect etc.
The most typical feature of WebCruiser comparing with other Web Vulnerability Scanners is that WebCruiser Web Vulnerability Scanner focuses on high risk vulnerabilities, and WebCruiser can scan a designated vulnerability type, or a designated URL, or a designated page separately, while the others usually will not.

V3.2.1 new features: Scan Log available, and bug fix.
V3.1.0 new features:
Support to scan LFI( Local File Inclusion), RFI( Remote File Inclusion), Redirect etc.
Important bug fix for HTTP request timeout.
Test report available :
WebCruiser Web Vulnerability Scanner Test Report (0.7MB)
Key Features:
* Crawler(Site Directories and Files).
* Vulnerability Scanner: SQL Injection, Cross Site Scripting, LFI, RFI, Redirect etc.
* WAVSEP v1.5 SQL Injection & XSS test cases 100% covered.
* SQL Injection POC Tool: GET/Post/Cookie Injection POC(Proof of Concept).
* SQL Injection for SQL Server: PlainText/Union/Blind Injection.
* SQL Injection for MySQL: PlainText/Union/Blind Injection.
* SQL Injection for Oracle: PlainText/Union/Blind/CrossSite Injection.
* SQL Injection for DB2: Union/Blind Injection.
* SQL Injection for Access: Union/Blind Injection.
* POC Tool for XSS, LFI, RFI, Redirect etc.
* Resend Tool.
* Bruter Tool.
* Cookie Tool.
WebCruiser Web Vulnerability Scanner for Windows User Guide V3.1 (1.8MB)


Thursday, July 8, 2010

Which is the most effective Web Vulnerability Scanner?

Hackers can get plenty of sensitive data such as the whole database which include customer's details and corporate data through web application vulnerabilities.
Any defense at network layer will guarantee no protection against web attacks since they are launched on usual port 80 or 443– which has to remain open. In addition, web application security auditing is often done from the developer's perspective – checking the source code for possible security issues, which is called "White-Box Testing", that can leave gaps in the application security.

To create a secure web application, you need to combine developer's approach and hacker's approach – checking security issues after the code leaves the development environment, which is called "Black-Box Testing". To provide continues protection to your web application, this task needs to be done automatically and regularly – such as is provided by WebCruiser – Web Vulnerability Scanner.
WebCruiser – Web Vulnerability Scanner lets you view your web application security problems from the hacker's perspective – it doesn't check the code, but can tell how one could circumvent your application's security by SQL Injection, Cross Site Scripting etc.

To perform a scan, you simply input the URL and click "Scan Site" to start a whole web site scanning or click "Scan URL" to start a single page scanning. WebCruiser can also launch a multi-site scan based on entries in a file.

The scanner comes with many built-in scanning test tools such as SQL Injection, Cross Site Scripting and more. The default option performs all tests. However, to speed the scanning process, you can perform particular tests.

WebCruiser – Web Vulnerability Scanner, is the most effective tool to audit your web application. WebCruiser focuses its attention on the web application and provides you with information on security issues that hackers can exploit. So, whether you are a web application developer or a security auditor, WebCruiser – Web Vulnerability Scanner is an essential tool to ensure the security of your web application. download a copy of WebCruiser – Web Vulnerability Scanner.