1. 客户端安全无懈可击： 安全测试方法一站式指南 分享人：曹微

2. 个人简介 •姓名：曹微 •所在组织：技术中台-质量工程部 •专业领域：客户端安全测试

3. 目录 01 02 •安全的重要性 •程序利用的案例分析 03 04 •客户端安全测试模式 •客户端安全测试方法

4. 安全事件 勒索事件 • 2017，WannaCrypt（永恒之蓝） 勒索蠕虫，150多个国家超过 23万台电脑被感染，损失超 过百亿美元 • 2022，英国著名汽车经销商集 团Pendragon遭到Lockbit勒索软件 的攻击，赎金达6000万美元 数据泄露 • 2017，美国信用评级公司Equifax， 1.4亿用户信息被泄露 • 2018，亚马逊，5万员工信息 泄露 • 2021，Facebook，5亿用户信息泄 露 国家攻击 • 2017，乌克兰政府和企业被勒 索木马攻击 • 2020，美国太阳风（SolarWinds） 供应链攻击 • 2022，西北工业大学被美国国 家安全局NSA攻击 软件漏洞 70% 网络钓鱼

5. 国家政策 《中华人民共 《中华人民共 和国计算机信 和国网络安全 法》 级保护管理办 息系统安全保 护条例》 《互联网信息 服务管理办法》 《信息安全等 法》 没有网络安 全就没有国 《计算机信息 网络国际联网 安全保护管理 办法》 家安全 《涉及国家秘 《中华人民共 密的计算机信 息系统分级保 护管理办法》 和国电子签名 《计算机信息 系统国际联网 保密管理规定》 法》 1、《中华人民共和国网络安全法》 2、 《中华人民共和国保守国家秘密法》 3、 《中华人民共和国国家安全法》 4、 《中华人民共和国电子签名法》 5、 《计算机信息系统国际联网保密管理规定》 6、 《涉及国家秘密的计算机信息系统分级保护管理办法》 7、 《互联网信息服务管理办法》 8、 《非经营性互联网信息服务备案管理办法》 9、 《计算机信息网络国际联网安全保护管理办法》 10、 《中华人民共和国计算机信息系统安全保护条例》 11、 《信息安全等级保护管理办法》 12、 《公安机关信息安全等级保护检查工作规范(试行)》 13、中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号) 14、中办、国办《关于进一步加强互联网管理工作的意见》(中办发[2004]32号) 15、中央网信办《关于加强党政机关网站安全管理的通知》(中网办发文[2014]1号) 16、中央网信办《关于印发<2014年国家网络安全检查工作方案>的通知(中网办发文[2014]5号) 17、国家发改委5部委《关于进一步加强国家电子政务网络建设和应用工作的通知》(发改高技[2012]1986号) 18、工业和信息化部《关于印发<2013年重点领域信息安检查工作方案>的函》(工信部协函[2013]259号) 19、 《广东省信息化促进条例》 20、 《广东省计算机信息系统安全保护条例》 21、 《广东公安网安部门信息安全检查细则》 22、省公安厅《关于继续深休我省信息安全等级保护工作的通知》(粤公通字[2011]124号) 23、 《关于切实加强我省涉外国家安全和保密工作的意见》(粤办发[2005]12号) 24、 《关于进一步加强互联网管理工作的意见》(粤办发[2005]25号 25、《关于加强和改进我省互联网管理工作的意见》(粤办发[2012]38号 26、《关于加强我省工业控制系统信息安全管理的意见》(粤信办[2012]3号) 27、省保密局、省公安厅、省安全厅、省经济和信息化委员会、省通信管理局《联合开展信息安全保密检查工作制度》 28、《通信网络安全防护管理办法》(工业和信息部令第11号) 29、《电信和互联网用户个人信息保护规定》(工业和信息部令第24号)

6. 客户端安全测试重要性分析 网络四要素 通信线路和 有独立功能 网络软件支 通信设备 的计算机 持 网络协议 Windows客户 端应用程序 Forrester 2020 年发布的调查报告 《 Forrester Analytics Global Business Technographics Security Survey，2020》

7. 什么是安全性 安全性： 产品或系统保护信息和数据，以 便人员或其他产品或系统的数据 访问适当的程度，他们的类型和 级别的授权程度。 安全性子特性包括： 保密性、完整性、抗抵赖性、可 核查性、真实性

8. 2、程序利用的案例分析

9. 应用程序被利用的过程 客户资料.rar 执行“身份证正面.com” • 带有白签名 • 漏洞：缓冲区溢 出 读取ereg.ini • 构造超过缓冲区 长度的配置数据， 覆盖SHE异常处理 链，劫持漏洞程 序跳转执行 shellcode 执行X 执行A • 保存有shellcode2 • 利用“腾讯签名”附 带远控木马

10. 3、客户端安全测试模式

11. 模式转变 SDL（安全开发生命周期）

12. devsecops构建 保障重点 • 编码安全、 引用安全 自动化测试 • AST、SCA CI\CD 工具链

13. 4、客户端安全测试方法

14. 安全威胁模型 仿冒 权限提 篡改 升 STRIDE 拒绝服 抵赖 务 信息泄 露

15. 攻击方法举例 绕过认证 中间人攻击 文件劫持 仿冒 数字签名利用 SQL注入 远程代码注入 篡改 重放攻击 会话劫持 抵赖 信息 泄露 数据共享方式选择不当 社会工程学攻击 拒绝 服务 分布式拒绝服务(DDoS) 缓冲区溢出 权限 提升 组策略篡改 旁路控制

16. windows客户端常见的安全性问题 • • • • • 01 02 03 04 文件 内存 权限 信息 文件操作权限过大 • 内存泄露 文件加载前没做校验 • 内存溢出 文件（模块）加载方式 • 内存中存在敏感信息 没有安全控制措施 UNC劫持 • 用户权限异常 • 进程间调用的权限继承 • 引用第三方产品权限没 控制 • UAC绕过 • • • • 明文存储 日志中带有敏感信息 SQL暴露 调试日志泄露

17. Windows客户端程序测试方法举例 debugview 反调试 内存检查 物理设备检查 日志、代码、二进制、配置文件、中间敏感文件、注册表、 数据库、调试日志，是否明文储存敏感数据 密码、SQL语句暴露，明文传输（登录、认证、数据库等） 非必要的数据传输 程序反调试或叫反逆向分析 内存中是否存在明文敏感数据 键盘防监听、U口、防截屏 文件劫持 远程劫持 消息HOOK APIHOOK SQL注入 签名检查 PE检查 DLL劫持、白利用、program劫持 远程线程劫持、远程代码执行 SetWindowsHookEx() LoadLibrary/LoadLibraryA/LoadLibraryW 数据库 签名有效性、签名校验 导入表、Depends、manifest Process Hacker 注入工具 XT API Monitor signtool depends、PEview 拒绝服务 溢出测试 编译选项检查 内存溢出、程序崩溃 ASLR、DEP appverifier binscope 权限提升 弱口令检查 文件、注册表、进程 权限检查 权限控制 Admin,123等 本身的权限检查 、调用链的权限检查、不同用户调用的权 限合理性检查 UAC生效 信息泄露 数据存储安全检查 数据传输安全性 仿冒 wireshark IDA winHEX XT

18. 测试阶段的安全测试 高 ROI 、早发现、提高漏洞利用的门槛 单击此处添加文本具体内容，简明扼要的阐述您的观点。 针对发布产物 常规安全checklist回扫 针对程序执行过程、中间生成物，动态检查 预发布 溢出、崩溃检查 文件劫持扫描 签名校验 远程注入检查 数据传输、数据存储安全性检查 消息HOOK检查 API HOOK检查 验证 针对代码、二进制、文件，静态检查 代码扫描 编译选项检查 签名验证 PE分析 mainifest检查 二进制中敏感信息扫描 配置文件中敏感信息扫描 创建

19. 检查方法说明 编译选项检查 NX(DEP) RELRO 堆栈禁止执行，基本原理是将数据所 在内存页标识为不可执行，当程序溢 出成功转入shellcode时，程序会尝 试在数据页面上执行指令，此时CPU 就会抛出异常，而不是去执行恶意指 令。 GOT写保护，尽量减少可写的存储区 域 PIE(ASLR) 代码段、数据段地址随机化,通过随机 放置进程关键数据区域的地址空间来 防止攻击者能可靠地跳转到内存的特 定位置来利用函数 CANARY FORTIFY 堆栈溢出哨兵，当启用栈保护后，函 数开始执行的时候会先往栈里插入 cookie信息，当函数真正返回的时候 会验证cookie信息是否合法，如果不 合法就停止程序运行。 常用函数加强检查，fority其实非常 轻微的检查，用于检查是否存在缓冲 区溢出的错误。

20. 检查方法说明 PE文件检查 PE文件的全称是Portable Executable ，意为可移植的可执行的文件 ，常见的EXE、DLL、OCX、SYS、 COM都是PE文件，PE文件是微软 Windows操作系统上的程序文件. PE文件是指32位可执行文件，也 称为PE32。64位的可执行文件称 为PE+或PE32+,是PE(PE32)的一种扩 展形式（请注意不是PE64)。 PE文件的导入表中如果存在非系 统文件，是一个不安全的加载 操作。

21. 检查方法说明 应用程序验证程序 (AppVerifier) 是一种适用于非 托管代码的运行时验证工 具，可帮助查找难以通过普 通应用程序测试技术识别的 细微编程错误、安全问题和 有限的用户帐户特权问题。 可以通过“Windows软件开发工 具包”启用。

22. 检查方法说明 工具 单击此处添加标题 •signtool.exe、Process Explorer、Process Monitor、windbg、debugview、 gflags，等 渗透方法 •MITRE ATT&CK、NTCFT

23. 安全测试报告 安全问题分级 单击此处添加标题 •GB∕T 20986-2023 信息安全技术 网络安全事件分类分级指南 安全测试报告 •可读性强 •包含问题概要、问题描述及复现、问题分级、影响范围、 修复建议

24. THANK YOU