owasp

点击蓝字 关注我们 悬镜安全作为国内DevSecOps理念的最佳实践者之一，在IAST灰盒安全测试技术方面有着丰富的落地实践经验。2020年9月5日（上周六），悬镜安全技术负责人宁戈受行业媒体安在邀约，参与“安在新媒体网络安全创新沙龙”，并在活动现场做《新一代灰盒安全测试技术与实践》主题演讲，向业界同行与媒体嘉宾详细介绍了DevSecOps和IAST技术核心点，以及在悬镜安全的落地实践案例，获得了现场一致好评！ 图｜演讲人-悬镜安全技术负责人宁戈 开发安全面临的两个问题 （1） 系统一定有未被发现的安全漏洞 。 程序员每写 1000行代码，就会出现1个逻辑性缺陷。每个逻辑性的缺陷，或者若干个逻辑性缺陷，最终导致一个漏洞；因此“缺陷是天生的，漏洞是必然的”。 （2） 现代应用都是组装的而非纯自研 。 78%-90%的现代应用融入了开源组件，平均每个应用包含147个开源组件，且67%的应用采用了带有已知漏洞的开源组件，软件供应链安全威胁迫在眉睫。 现代应用安全的风险面，主要来自第三方开源组件缺陷（如CNNVD/CNVD/CVD漏洞）和自研代码,Web通用漏洞（SQL注入、命令执行、XXE、XSS等OWASP TOP10）和业务逻辑漏洞（水平/垂直越权、短信轰炸、批量注册、验证码绕过等 ）。 因此， 针对现代应用全面风险审查应考虑从第三方开源组件、自研代码通用漏洞

OWASP Top Ten OWASP Top 10是一个面向开发人员和web应用程序安全性的标准意识 文档。它代表了关于web应用程序最关键的安全风险的广泛共识。 十大Web应用程序安全风险（2017版） 注入：注入缺陷，如SQL、NoSQL、OS和LDAP注入，当将不受信任的数据作为命令或查询的一部分发送到解释器时注入缺陷随即产生。***者的恶意数据可以欺骗解释器执行非预期的命令或在没有适当授权的情况下访问数据。 失效的身份认证：与身份验证和会话管理相关的应用程序功能通常会错误地实现，从而使***者能够破坏密码，密钥或会话令牌，或者利用其他实现缺陷来临时或永久地假定其他用户的身份。 敏感数据泄露：许多Web应用程序和API无法正确保护敏感数据，例如金融，医疗保健和PII。 ***者可能会窃取或修改这些受保护程度不高的数据，以进行信用卡欺诈，身份盗用或其他犯罪。 敏感数据可能会在没有额外保护的情况下受到损害，例如静态加密或传输中加密，并且在与浏览器进行交换时需要采取特殊的预防措施。 XML外部实体（XXE）： 许多较旧的或配置不当的XML处理器都会评估XML文档中的外部实体引用。 外部实体可以使用文件URI处理程序，内部文件共享，内部端口扫描，远程代码执行和拒绝服务***来公开内部文件。 失效的访问控制： 通常，对身份验证用户允许执行的操作的限制通常未得到正确执行。 **

背景 小程序编译、打包、预览均需要依赖开发者工具进行，且团队中成员均需要开通代码仓库权限，比较繁琐。故在官方论坛中找到以下CI集成插件，并结合jenkins做成了自动打码，详细介绍如下 一、miniprogram-ci工具 概述 miniprogram-ci 是从微信开发者工具中抽离的关于小程序/小游戏项目代码的编译模块。开发者可不打开小程序开发者工具，独立使用 miniprogram-ci 进行小程序代码的上传、预览等操作。 详细介绍见官网 https://developers.weixin.qq.com/miniprogram/dev/devtools/ci.html 二、工具准备内容 密钥 IP白名单配置 appid 一个存放打包后二维码的目录 三、注意事项 密钥、存放二维码的目录不能和小程序代码同级，需要分开（不然小程序目录大小会超出限制） 需要提前安装nodejs（目前我安装的版本是v10.8.0，其他版本自行测试） ip白名单可能过期，具体在工具运行时会提示，按照提示，在小程序后台更新一下ip白名单即可 四、开始 安装miniprogram-ci npm install -g miniprogram-ci 运行CI命令 miniprogram-ci \ preview \ --pp ./demo-proj/ \ --pkp ./private.YOUR_APPID

SAST工具是最常见也是最早出现的自动化应用安全测试。有些研发人员认为，考虑软件的安全性会给他们增加更多工作量，但实际上，安全能力会给研发工作锦上添花，帮助节约大量修复bug的时间。市场上的SAST工具非常多，今天小编就介绍6款免费的开发安全测试工具，希望能帮到你。 image 1、GitGuardian GitGuardian包括300多种不同类型的机密类型，能够通过复杂的模型匹配等多种算法技术进行检测，并且通过扫描开发人员存储库，持续发现机密信息。有一个很棒的功能是，GitGuardian可以和GitHub帐户集成，只需几分钟就能完成配置。开发人员可以通过GitGuardian API检测目录、邮件客户端或Slack channel等服务中的机密信息。 2、Snyk Snyk能为开发人员提供一些开源的解决方案，它有很多不错的功能，比如在IDE中检测漏洞，扫描本地git测试存储库中的项目等。Snyk有安全网关，能够防止漏洞通过构建过程进入开发环境，而且有一个生产环境，用于测试运行环境中是否存在暴露风险点。 3、NodeJsScan NodeJs Scan有一个命令行接口，很方便就能与DevSecOps CI/CD管道集成，并以JSON格式生成扫描结果。NodeJs Scan的文件总览和整个代码库都可以通过统计数据和饼图做到可视化，此外，还可以检测缓冲区溢出漏洞

前言 今天看到一个博客里有这个置顶的工具清单，但是发现这些都是很早以前就有文章发出来的，我爬下来后一直放在txt里吃土。这里一起放出来。 漏洞练习平台 WebGoat漏洞练习平台： https://github.com/WebGoat/WebGoat webgoat-legacy漏洞练习平台: https://github.com/WebGoat/WebGoat-Legacy zvuldirll漏洞练习平台： https://github.com/710leo/ZVulDrill vulapps漏洞练习平台： https://github.com/Medicean/VulApps dvwa漏洞练习平台： https://github.com/RandomStorm/DVWA 数据库注入练习平台 ： https://github.com/Audi-1/sqli-labs 用node编写的漏洞练习平台，like OWASP Node Goat： https://github.com/cr0hn/vulnerable-node Ruby编写的一款工具，生成含漏洞的虚拟机： https://github.com/cliffe/secgen 花式扫描器 Nmap端口扫描器： https://github.com/nmap/nmap 本地网络扫描器： https://github.com

前言 今天看到一个博客里有这个置顶的工具清单，但是发现这些都是很早以前就有文章发出来的，我爬下来后一直放在txt里吃土。这里一起放出来。 漏洞练习平台 WebGoat漏洞练习平台： https://github.com/WebGoat/WebGoat webgoat-legacy漏洞练习平台: https://github.com/WebGoat/WebGoat-Legacy zvuldirll漏洞练习平台： https://github.com/710leo/ZVulDrill vulapps漏洞练习平台： https://github.com/Medicean/VulApps dvwa漏洞练习平台： https://github.com/RandomStorm/DVWA 数据库注入练习平台 ： https://github.com/Audi-1/sqli-labs 用node编写的漏洞练习平台，like OWASP Node Goat： https://github.com/cr0hn/vulnerable-node Ruby编写的一款工具，生成含漏洞的虚拟机： https://github.com/cliffe/secgen 花式扫描器 Nmap端口扫描器： https://github.com/nmap/nmap 本地网络扫描器： https://github.com

前言 今天看到一个博客里有这个置顶的工具清单，但是发现这些都是很早以前就有文章发出来的，我爬下来后一直放在txt里吃土。这里一起放出来。 漏洞练习平台 WebGoat漏洞练习平台： https://github.com/WebGoat/WebGoat webgoat-legacy漏洞练习平台: https://github.com/WebGoat/WebGoat-Legacy zvuldirll漏洞练习平台： https://github.com/710leo/ZVulDrill vulapps漏洞练习平台： https://github.com/Medicean/VulApps dvwa漏洞练习平台： https://github.com/RandomStorm/DVWA 数据库注入练习平台 ： https://github.com/Audi-1/sqli-labs 用node编写的漏洞练习平台，like OWASP Node Goat： https://github.com/cr0hn/vulnerable-node Ruby编写的一款工具，生成含漏洞的虚拟机： https://github.com/cliffe/secgen 花式扫描器 Nmap端口扫描器： https://github.com/nmap/nmap 本地网络扫描器： https://github.com

为了加速业务创新，应用开源技术提升开发效率成为企业的主流选择，但这也导致了日益依赖复杂的软件供应链。虽然有诸多优点，但广泛应用开源组件也带来了新的安全挑战，软件成分分析（SCA）应运而生。 软件成分风险日益加剧 近日，Synopsys 公司发布了《2020 年开源安全和风险分析（O***A）报告》。报告显示：2019 年审计的代码库中，有70% 进行了开源，同比增长10%。但其中 75% 的代码库中包含已知的安全漏洞，49% 的代码库包含高风险漏洞。无独有偶，今年3月安全公司 WhiteSource 发布的《开源年度报告》也指出，2019 年公开披露的开源漏洞为 6100 个，同比增长 50%。 除了安全漏洞外，应用开源组件导致的法律风险也日渐增多。很多企业对于开源协议以及引用规范并不是十分清晰，进而引起各种不必要的争议甚至法律纠纷。如博云在使用开源项目 Apache SkyWalking 时违反了该项目声明的 Apache License Version 2.0 开源协议规定被要求整改。 软件成分分析应运而生 组件问题由来已久，但直到不久前，软件供应链还是国内企业忽略的主题，SCA相关工具市场份额也一直被国外企业长期垄断。早在2013年版和2017年版的《OWASP Top 10》文档中，就对“使用含有已知漏洞的组件”进行了收录和分析

千里之堤，溃于蚁穴。 在Web系统中，一个小小的漏洞，往往能引发极其严重的后果。因此，Web安全是每个系统在设计、开发、运维时必须要重点考虑的问题。 现如今很多Web系统所采取的防御措施是偏向于基础和简单的，往往只针对常见的安全漏洞做了防御，比如： Csrf XSS sql注入 等等。这些基础的防御措施是必须要做的，且实施的成本不高，但它们只是系统安全防御中的基础部分。很多开发人员在意识中认为做好这些就足够应付大部分情况了，这种想法是非常危险的。实际上，除了这些基础且标准化的漏洞，每个业务系统本身的业务逻辑也很有可能成为黑客攻击的目标，一旦被抓到并攻破，那后果将是非常严重的。下面将列举一些常见的业务逻辑漏洞，这些漏洞也是之前开发系统时踩过的坑，希望能对大家有所启发。 会话凭证管理混乱 我们都知道HTTP本身是无状态的，为了能让浏览器和服务器互相知道身份并信任对方，大部分web系统都是利用“token”这种约定的凭证来实现的，token会在用户登录之后产生，并在用户主动退出或者超过一段时间后失效。也就是说，请求带上了相应的token，那么服务端就能拿到token做相应的校验，校验通过则信任该请求并执行相关业务逻辑，如果没带、带一个非法的或者过期的则认为不合法。这看上去并没有什么问，但实际的实现上可能暗藏漏洞。 来看两个例子： 1.前端开发人员小明在写用户点击退出按钮的逻辑时

ECS day4 第5章 掌握负载均衡SLB 课时25 SLB产品概要 负载均衡（Server Load Balancer）是对多台云服务器进行流量分发的服务。 负载均衡可以通过流量分发扩展应用系统对外的服务能力，通过消除单点故障提升应用系统的可用性。 SLB服务通过设置虚拟服务地址（IP ），将位于同一地域（ Region ）的多台云服务器（ ECS ）资源虚拟成-个高性能、高可用的应用服务池。根据应用指定的方式，将来自客户端的网络请求分发到云服务器池中。 SLB服务会检查云服务器池中ECS的健康状态，自动隔离异常状态的ECS。从而解决了单台ECS的单点问题，同时提高了应用的整体服务能力。 在标准的负载均衡功能之外，SLB服务还具备TCP与HTTP抗DDoS攻击的特性，增强了应用服务器的防护能力。 SLB服务是ECS面向多机方案的一个配套服务，需要同ESC结合使用。 课时26 SLB简介 基本概念 LoadBalancer：一个SLB实例 Listener：用户制定的负载均衡策略和转发规则 BackendServer：后端的一组云端服务器 当前提供4层（ TCP/UDP协议）和7层（ HTTP/HTTPs协议）的负载均衡服务。 可以对后端ECS进行健康检查，自动屏蔽异常状态的ECS，待该ECS恢复正常后自动解除屏蔽。 提供会话保持功能，在Session的生命周期内