• 【笔记】网易微专业-Web安全工程师-05.WEB安全体系建设


    课程概述

    未知攻,焉知防?通过前面的课程我们掌握了各种攻击技巧,本课将教会大家如何在企业进行安全建设,达到知攻知防的境界,这也是各个公司最终需要的安全人才。

    课程大纲

    第一节.SDL介绍 

    第二节.漏洞和事件处理

    第三节.安全运营概述


    1. SDL介绍

    安全开发生命周期(Security Development Lifecycle)

    培训:核心安全培训

    需求:安全需求分析/质量要求,Bug数量/安全和隐私风险评估

    设计:设计需求分析/减小攻击面

    实施:使用指定工具/启用不安全函数/静态解析

    验证:动态分析/模糊测试/威胁模型和攻击面分析

    发布:事件响应计划/最终安全评析/发布存档

    响应:执行事情响应计划

    更多内容详见:https://www.microsoft.com/en-us/sdl

    2. 漏洞和安全处理

    2.1 发现安全问题:

    安全需求分析:项目初期接入,提前发现安全问题。如使用Web框架和语言的选型建议,敏感信息如密码的保存方案,是否有上传功能等等。

    漏洞处理:通过扫描器发现安全问题,自动化,周期性执行。

    事件处理:主要方式包括白盒测试和黑盒测试,通常以黑盒测试为主。

    入侵检测:项目上线之后进行监控,包含多种检测方式,通过监控入侵行为发现安全问题。

    日志分析:项目上线之后分析日志,通过分析日志发现安全问题。常见模式有可疑日志+人工分析,可疑日志+扫描器。

    建立SRC:安全应急响应中心,通过安全爱好者发现安全问题。

    与漏洞搜集平台合作:借助漏洞平台的力量和影响力,通过漏洞平台发现安全问题。

    其它渠道:黑产卧底,与执法部门合作等等。

    2.2 处理安全漏洞

    防御:输入检查(在服务端检查;数据合法性校验:类型、范围。长度;尽量使用白名单),输出清理(报错信息等);针对性防御(cookie采用httponly);WAF(Web Application Firewall)。

    修复:漏洞知识库(提供详细漏洞说明和修复方法,需要落地可执行),漏洞修复周期(需要有时间限制,根据漏洞危害等级限定漏洞修复周期),漏洞复查(需要安全团队复查,业务方和开发不可信)。

    2.3 安全事件处理

    分类:入侵/攻击/信息泄露

    分级:低危/中危/高危

    安全事件应急响应流程:事件确认,事件汇报,事件处理,归档和复盘。

      

    3. 安全运营概述

    发现和修复安全问题,防御体系建设和快速响应攻击,SDL落实推动

    如何落地?

    对内工作:安全扫描(周期性,定期检测保障安全),安全漏洞预警(关注重大漏洞和时间,提前部署防御方案,提前提供解决方案),应急响应,安全监控与入侵检测(通过监控发现安全问题,及时响应与处理)。

    对外工作结合:建立外部沟通渠道和流程(提供统一对外沟通的邮件和IM工具,提供安全相关的沟通群,提供外部反馈问题的网站),安全圈关系(了解著名安全公司和安全圈子,积极参加安全会议,积极融入安全圈进行合作),品牌建设(参加合作会议,举办安全会议,打造安全产品,成立安全实验室)。

  • 相关阅读:
    【Nodejs】cheerio简单示例
    【复习】请求转发与请求重定向的区别:
    常用的 default.properties 文件 + 常用的 struts-default.xml 文件 + 常用的 struts-plugin.xml 文件 + 常用的 struts.xml 文件 + 常用的 struts.properties文件 + 常用的 web.xml 文件
    log4j WARN 的解决办法
    Caused by: 元素类型为 "package" 的内容必须匹配 "(result-types?,interceptors?,default-interceptor-ref?,default-action-ref?,default-class-ref?,global-results?,global-exception-mappings?,action*)"。
    Myeclipse2017无法修改项目的Web Context Root问题
    springMVC的注解@RequestParam与@PathVariable的区别
    easyUI的控件
    easyui datagrid json 格式
    java泛型中<?>和<T>有什么区别?
  • 原文地址:https://www.cnblogs.com/kplayer/p/8467740.html
Copyright © 2020-2023  润新知