主要是从安全巡检、数据加密、代码审计与WAF等这几个模块进行安全建设
- 周期性安全巡检
安全巡检主要对业务平台(更新)及新增业务平台进行安全检测,分为Web端、APP端、微信端等其它
Web端常规测试如下图:
web主要测试:逻辑、SQL注入、Xss、CSRF、SSRF、文件上传、命令/代码执行信息泄露等其它安全问题
APP主要测试:客户端、系统、通信及服务端等模块内容
- 数据通信加密
业务站点访问使用SSL证书,客户端浏览器和Web服务器之间建立一条SSL安全通道,签发证书主流机构Symantec、Thawte、GeoTrust、GlobalSign
- 代码审计
从代码层(源头)来解决存在一些安全Bug
人工审计与自(半)自动化工具
工具:
眼镜蛇(Cobra)是一款定位于静态代码安全分析的工具,目标是为了找出源代码中存在的安全隐患或者漏洞,支持PHP、Java等开发语言,并支持数十种类型文件
RIPS是一款对PHP源码进行风险扫描的工具,其对代码扫描的方式是常规的正则匹配,确定sink点;还是如flowdroid构建全局数据流图,并分析存储全局数据可达路径
Seay源代码审计系统,目前只支持PHP代码审计
- WAF
WAF(Web Application Firewall),Web应用防火墙是通过执行一系列针对 HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品
开源产品lua及第三方绿盟waf、安恒waf、天融信waf与云平台waf(阿里云waf)
开源Lua应用效果:
注:Ngx_Lua_waf可根据生产环境的应用对于规则来添加及防护
待续…