主要是从安全巡检、数据加密、代码审计与WAF等这几个模块进行安全建设

  • 周期性安全巡检

安全巡检主要对业务平台(更新)及新增业务平台进行安全检测,分为Web端、APP端、微信端等其它

Web端常规测试如下图:

《企业安全建设(5)—应用层安全》

web主要测试:逻辑、SQL注入、Xss、CSRF、SSRF、文件上传、命令/代码执行信息泄露等其它安全问题

《企业安全建设(5)—应用层安全》

APP主要测试:客户端、系统、通信及服务端等模块内容

  • 数据通信加密

业务站点访问使用SSL证书,客户端浏览器和Web服务器之间建立一条SSL安全通道,签发证书主流机构Symantec、Thawte、GeoTrust、GlobalSign

  • 代码审计

从代码层(源头)来解决存在一些安全Bug

人工审计与自(半)自动化工具

工具:

眼镜蛇(Cobra)是一款定位于静态代码安全分析的工具,目标是为了找出源代码中存在的安全隐患或者漏洞,支持PHP、Java等开发语言,并支持数十种类型文件

《企业安全建设(5)—应用层安全》

RIPS是一款对PHP源码进行风险扫描的工具,其对代码扫描的方式是常规的正则匹配,确定sink点;还是如flowdroid构建全局数据流图,并分析存储全局数据可达路径

《企业安全建设(5)—应用层安全》 《企业安全建设(5)—应用层安全》

Seay源代码审计系统,目前只支持PHP代码审计

《企业安全建设(5)—应用层安全》

  • WAF

WAF(Web Application Firewall),Web应用防火墙是通过执行一系列针对 HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品

开源产品lua及第三方绿盟waf、安恒waf、天融信waf与云平台waf(阿里云waf)

开源Lua应用效果:

《企业安全建设(5)—应用层安全》

:Ngx_Lua_waf可根据生产环境的应用对于规则来添加及防护


待续…