1. 交互式应用安全测试 功能测试与安全测试的融合 分享人：彭跃

2. 个人简介 •姓名：彭跃 •所在组织：技术中台-信息安全部 •专业领域：漏洞挖掘

3. 目 录 01 DevOps和 DevSecOps 02 主流安全检测 技术分析及优劣 03 04 交互式应用安全 360集团交互式应用 测试技术实现 安全测试方案落地

4. DevOps和DevSecOps

5. DevOps和DevSecOps 安全开发周期DevSecOps 计划 DevOps流程 编码 构建 测试 发布 运营 需求分析和威胁建模 开源威胁治理 DevSecOps工具链 IAST交互式灰盒安全测试 持续威胁模拟 RASP自适应威胁免疫

6. 主流安全检测技术分析及优劣

7. 动态应用安全测试DAST 简介 检测原理 DAST（Dynamic Application Security Testing，动态应用 安全监测）是一种黑盒安全测试技术，是目前应用最广 泛、使用最简便的安全测试方法。对应用程序进行黑盒分 析，这意味着它们不能访问代码或实现细节。DAST只检 查系统对潜在漏洞测试的请求和响应。换言之，DAST是 ⚫ 通过爬虫抓取整个 Web 应用结构，爬虫会识别被测 Web 程序有多少个目录，多少个页面，页面中有哪些参数； ⚫ 根据爬虫的分析结果，对发现的页面和参数发送修改的 HTTP Request 进行攻击尝试（扫描规则库）； ⚫ 通过对 Response 的分析验证是否存在安全漏洞。 外部的漏洞扫描程序 SQL注入 优点 缺点 XSS跨站 命令注入 127.0.0.1;id 文件包含 扫描程序 测试环境 Response uid=0(root) gid=0(root) groups=0(root) 无需代码 漏洞检出率低 执行较快 测试阶段接入 误报低 无法定位问题位置 使用门槛低 产生脏数据

8. 静态应用安全测试SAST 检测原理 简介 SAST（Static Application Security Testing，静态应用 ⚫ 针对目标代码的AST(抽象语法树)，或者将代码转化为一种 程序安全测试)。该技术通常在编码阶段分析应用程序的 中间代码如：Three-Address Code(三地址码)进行分析，将目 源代码或二进制文件的语法、结构、过程、接口等来发 标代码的调用关系、执行环境、上下文等分析清楚 现程序代码存在的安全漏洞，主要是开发阶段被大家熟 ⚫ 数据流分析：跟踪、记录并分析程序中的数据传递过程所产 生的安全问题 知的白盒代码审计类技术 ⚫ 控制流分析：分析程序特定时间，状态下执行操作指令的安 优点 缺点 漏洞检出率高 误报率较高 漏洞种类丰富 定制化调整规则 介入节点早 语言支持成本高 精准定位问题位置 检测时间较长 全问题 ⚫ 配置分析：分析项目配置文件中的敏感信息和配置缺失的安 全问题 ⚫ 结构分析：分析程序上下文环境及结构中的安全问题 ⚫ 结合以上分析结果，匹配规则库中的漏洞特征 词法分析 语法分析 语义分析 中间代码 生成 获取数据流 控制流等

9. 交互式应用安全测试技术实现

10. 交互式应用安全测试—基本原理 IAST（Interactive Application Security Testing，交互式应用程序安全测试）通过服务端部署 Agent 探针、 流量代理/VPN 或主机系统软件等，收集、监控 Web 应用程序运行时函数执行、数据传输，并与扫描器端 进行实时交互，高效、准确的识别安全缺陷及漏洞，同时可准确确定漏洞所在的代码文件、行数、函数及 参数 • 插桩模式 • 流量代理模式 插桩模式是在保证目标程序原有 在 PC 端浏览器或者移动 APP 逻辑完整的情况下，在特定的位 设置代理，通过代理拿到功能 置插入探针，在应用程序运行 时，通过探针获取请求、代码数 据流、代码控制流等，基于请 求、代码、数据流、控制流综合 分析判断漏洞 插桩模式 流量采集 模式 测试的流量，利用功能测试流 量模拟多种漏洞检测方式对被 测服务器进行安全测试

11. 交互式应用安全测试—插桩模式 正常流量 被 动 插 桩 用户 服务器 插桩Agent 正常响应 Web展示 正常流量 主 动 插 桩 用户 服务器 payload 插桩Agent 镜 像 流 量 IAST扫描引擎 ⚫扫描端发送payload ⚫精度更高，更易于指导研发修复 ⚫获取关键函数上下文信息综合分析 ⚫支持漏洞利用、漏洞复现 1）HTTP/HTTPS请求/响应 ⚫无法处理签名加密接口 2）URL是否触发相关插桩点 ⚫产生脏数据 3）payload是否进入了执行流程

12. 交互式应用安全测试—流量收集模式 不依赖服务端应用语言环境，无感收集流量即可进行安全测试 漏洞检测验证 ，提供漏洞依据 测试网 生产网 http/https 交换机 3、旁路嗅探 前端演示 漏洞检测 数据拉取 反弹shell SQL注入、 命令执行 SSRF、 XSS 弱口令、 组件漏洞 漏洞利用 测试人员 客户端 center-proxy 2、主机嗅探 1、终端代理 全流量收集 ，7*24实时监控 ，资产变更检测 漏洞确认、代码修复反馈、回归测试 闭环管理

13. 360集团交互式应用安全 测试方案落地

14. 交互式应用安全测试落地方案 360信息安全中心团队与QA团队协同建设，在业务提交测试工单时自动在信息安全平台创建安全测试工单， QA在部署测试环境时完成Nginx流量镜像配置和应用插桩，并通过参数配置将漏洞与测试工单相关联，将信息 安全平台与DevOps平台的打通，完成漏洞运营闭环

15. 方案优势及问题 方案优势 ⚫ 进行功能测试的同时完成安全测试，且对测试人员相对无感 ⚫ 安全能力前置至功能测试阶段，避免传统安全检测方案的滞后性和对业务上线预期的延误 ⚫ 贴合DevOps持续集成、迭代的理念，可覆盖每一次迭代需求，同时降低业务和安全技术人员进行安全测试的成本 问题&&措施 ⚫ 性能测试流量数量多：使用特殊字符标识，不扫描此类流量 ⚫ 扫描产生脏数据：针对增删改接口设计黑名单，并不断维护 ⚫ 逻辑漏洞检测：迭代需求设计版本分类，涉及逻辑的版本迭代转人工

16. 未来优化 CI/CD流程对接

17. THANK YOU