一、背景

數(shù)據(jù)安全法實施后，國家監(jiān)管部門加強了對企業(yè)數(shù)據(jù)安全的監(jiān)管力度。在這個大的背景下，為保障物流體系系統(tǒng)安全，提前規(guī)避安全風(fēng)險，由測試組牽頭制定安全測試流程規(guī)范并持續(xù)推進安全測試常態(tài)化。

二、安全漏洞的類型及危害1、常見安全漏洞類型

越權(quán)類漏洞、上傳漏洞、XSS漏洞、CSRF漏洞、SQL注入漏洞、任意文件讀取漏洞、反序列化漏洞、CORS漏洞、SSRF漏洞、URL調(diào)整漏洞等

(相關(guān)資料圖)

2、安全漏洞危害

1. 信息泄露

攻擊者可以通過漏洞入侵企業(yè)的系統(tǒng)，竊取企業(yè)敏感信息，如客戶信息、財務(wù)數(shù)據(jù)等。這些信息一旦泄露，將會對企業(yè)帶來巨大的損失，同時也會損害客戶的信任和企業(yè)品牌形象

2. 系統(tǒng)癱瘓

攻擊者通過漏洞攻擊，有可能使企業(yè)的整個系統(tǒng)癱瘓。這樣的結(jié)果直接導(dǎo)致企業(yè)無法正常運營，對企業(yè)的經(jīng)濟發(fā)展產(chǎn)生極大的影響

3. 敲詐勒索

攻擊者通過漏洞攻擊，可以加密企業(yè)的數(shù)據(jù)，要求企業(yè)支付贖金后才會釋放數(shù)據(jù)。這種敲詐勒索方式有可能會讓企業(yè)陷入經(jīng)濟困境

三、現(xiàn)狀分析

目前部門通過【安全工單】的方式接收并處理安全問題。安全工單是由集團安全部下發(fā)的工單，包含應(yīng)用上線時J-ONE自動觸發(fā)的安全掃描建立的工單以及由安全部、外部白帽子手工測試發(fā)現(xiàn)安全漏洞創(chuàng)建的工單。安全工單由部門接口人通知到各應(yīng)用負責(zé)人進行跟進處理。

1、工單來源

1.白盒掃描

2.黑盒掃描

3.JSRC(白帽子提測)

4.其他漏洞

2、工單漏洞類型

1.白盒掃描主要針對組件類漏洞

2.黑盒掃描主要針對配置類漏洞

3.JSRC主要針對業(yè)務(wù)邏輯漏洞

4.其他：安全組同事發(fā)現(xiàn)的業(yè)務(wù)邏輯漏洞或集團新增的安全檢測規(guī)則

方式	目的及覆蓋漏洞類型
流水線	目的：白盒測試，掃描代碼，提前規(guī)避 組件類漏洞問題 覆蓋漏洞類型：源組件漏洞、XSS、注入類漏洞
黑盒平臺	目的：黑盒測試，掃描主機，提前規(guī)避 配置類問題、違規(guī)開放問題 覆蓋漏洞類型：配置類漏洞、違規(guī)開放、注入類漏洞、訪問偽造
手工測試	目的：彌補工具掃描的不足，挖掘邏輯漏洞 覆蓋漏洞類型：邏輯漏洞、文件操作
DCAP安全策略	目的：暴露數(shù)據(jù)安全類問題 覆蓋漏洞類型：數(shù)據(jù)安全類

3、已有的檢測方式

1.白盒掃描：流水線中提供了安全原子

2.黑盒掃描：有頁面和接口，可以進行定時掃描

3.IAST平臺

4、部門應(yīng)用分析

目前二級部門應(yīng)用有200個左右，其中公網(wǎng)應(yīng)用有京驛APP、京管家APP、外網(wǎng)承運商平臺、通聯(lián)相關(guān)應(yīng)用、貨航條線相關(guān)應(yīng)用。分析安全工單數(shù)據(jù)可知業(yè)務(wù)邏輯漏洞來源均為公網(wǎng)應(yīng)用，公網(wǎng)應(yīng)用直接面對客戶，安全治理的優(yōu)先級最高。

四、安全測試方案制定1、測試方式

針對現(xiàn)存的邏輯漏洞類型，采取工具接入（白盒、黑盒）+手工測試的方式進行全方位覆蓋。

2、邏輯漏洞測試流程a. 提測標準所有涉及外網(wǎng)的需求有大量外部人員使用的內(nèi)網(wǎng)b. 提測階段

需求評審階段，測試 發(fā)起確定是否需要安全測試

測試評估是否涉及到外網(wǎng)用戶的使用場景產(chǎn)品評估是否為大量外部人員使用的內(nèi)網(wǎng)系統(tǒng)（建議15人以上）c. 測試排期和功能測試同時排期，測試結(jié)束后上線d. 準出標準所有安全漏洞修復(fù)后上線五、安全測試方案實施1、工具接入

1.流水線接入安全原子，針對master分支進行安全掃描

2.定時任務(wù)調(diào)取黑盒平臺api進行安全掃描

3.配置IAST插件進行安全掃描

2、手工測試分階段進行a. 第一階段：存量安全問題治理

1. 成立安全測試小組

邀請安全部門同事進行培訓(xùn)并自主學(xué)習(xí)安全知識，使特定的人具備安全測試能力：包含工具使用，數(shù)據(jù)泄露、水平越權(quán)、垂直越權(quán)等漏洞的挖掘能力

2. 外網(wǎng)平臺專項治理

分析長安工單可知目前外網(wǎng)應(yīng)用存在的主要問題是越權(quán)問題，因此針對外網(wǎng)平臺進行專項治理。

外網(wǎng)應(yīng)用接口梳理首先對包含敏感數(shù)據(jù)的接口進行治理（后端加Permisson注解，物流網(wǎng)關(guān)解析權(quán)限配置）然后對不含敏感數(shù)據(jù)的接口進行治理b. 第二階段：增量需求進行安全測試定期在組內(nèi)進行安全測試分享培訓(xùn)，使組內(nèi)所有人具備安全測試能力提升邏輯漏洞相關(guān)知識，邏輯漏洞覆蓋范圍擴展至XSS、CSRF等漏洞c. 第三階段：安全意識的培養(yǎng)產(chǎn)品：需求評審過程中針對外網(wǎng)應(yīng)用提出安全測試的訴求研發(fā)：開發(fā)過程中遵循安全測試規(guī)范，規(guī)避安全問題測試：需求評審過程中針對外網(wǎng)應(yīng)用提出安全測試要求；代碼評審過程中針對權(quán)限類、敏感數(shù)據(jù)類檢查是否有權(quán)限校驗或數(shù)據(jù)加密；安全測試過程中覆蓋常用的安全用例3、邏輯漏洞挖掘經(jīng)驗a. 工具使用

BurpSuite安裝

b. 通用用例及構(gòu)造方式

用例名稱	步驟	錯誤結(jié)果	預(yù)期結(jié)果	原理介紹
敏感數(shù)據(jù)校驗	請求包含敏感數(shù)據(jù)的接口	身份證、手機號、地址等字段未加密	敏感數(shù)據(jù)加密后返回
垂直越權(quán)校驗	①有菜單權(quán)限的用戶A登錄并請求接口 ②無菜單權(quán)限的用戶B登錄 ③用戶A的cookie替換成用戶B的cookie后重發(fā)接口	接口返回成功	接口返回”無權(quán)限“
水平越權(quán)校驗	①用戶A登錄并請求具有屬性的數(shù)據(jù) ②用戶B登錄 ③用戶A的cookie替換成用戶B的cookie后重發(fā)接口	接口返回成功	接口返回”無權(quán)限“
反射型XSS校驗	①輸入框中輸入 ②點擊提交	頁面展示‘xss’彈窗	頁面無彈窗	邏輯漏洞挖掘之XSS漏洞原理分析及實戰(zhàn)演練
存儲型XSS校驗	①輸入框中輸入 ②點擊提交	①數(shù)據(jù)庫落數(shù)據(jù)： ②再次查看包含該數(shù)據(jù)的頁面，頁面彈窗	①對特殊字符進行轉(zhuǎn)義后存儲 ②再次查看包含該數(shù)據(jù)的頁面，無彈窗
CSRF校驗	①用戶登錄網(wǎng)站A ②未關(guān)閉網(wǎng)站A的情況下登錄網(wǎng)站B，網(wǎng)站B中包含構(gòu)造的對網(wǎng)站A的接口請求	接口返回成功	接口返回401	邏輯漏洞挖掘之CSRF漏洞原理分析及實戰(zhàn)演練

c. 實例分析

1.敏感數(shù)據(jù)

問題描述：接口敏感數(shù)據(jù)未加密

2. 垂直越權(quán)

問題描述：不具備菜單權(quán)限的測試賬號訪問接口后可以成功返回數(shù)據(jù)

3. 存儲型XSS

問題描述：漏洞位置其實為兩處，此處類似iframe嵌?，直接影響兩個站點

漏洞證明：發(fā)送如下數(shù)據(jù)包，即可插?存儲型XSS

4. 反射型XSS

輸入萬能語句 后并沒有彈窗，查看源碼可見 <>被轉(zhuǎn)義了

在input標簽的value處，沒有將我們輸入的內(nèi)容進行嚴格過濾，所以手動閉合value，再執(zhí)行腳本 ">

5. CSRF漏洞

問題描述：編寫html腳本，構(gòu)建提交按鈕，點擊按鈕觸發(fā)接口調(diào)用，接口請求中不需要cookie即可請求成功

六、落地成果

安全工單中業(yè)務(wù)邏輯漏洞類型的工單數(shù)量降低了 70%

1.流水線掃描的高風(fēng)險問題已全部解決

2.外網(wǎng)應(yīng)用的水平越權(quán)、垂直越權(quán)問題已全部解決

3.隨迭代新增的需求累計挖掘邏輯漏洞 45個

方式	目的及覆蓋漏洞類型	達到情況	備注
流水線	目的：白盒測試，掃描代碼，提前規(guī)避 組件類漏洞問題 覆蓋漏洞類型：源組件漏洞、XSS、注入類漏洞	44個應(yīng)用已接入流水線，高風(fēng)險安全問題全部解決
黑盒平臺	目的：黑盒測試，掃描主機，提前規(guī)避 配置類問題、違規(guī)開放問題 覆蓋漏洞類型：配置類漏洞、違規(guī)開放、注入類漏洞、訪問偽造	外網(wǎng)平臺已加入黑盒掃描，掃描的問題全部解決	已接入定時任務(wù)，每周一9：00執(zhí)行
手工測試	目的：彌補工具掃描的不足，挖掘邏輯漏洞 覆蓋漏洞類型：邏輯漏洞、文件操作	①外網(wǎng)平臺全方位測試 ②新增需求100%安全測試
DCAP安全策略	目的：暴露數(shù)據(jù)安全類問題 覆蓋漏洞類型：數(shù)據(jù)安全類	已完成安全策略接入	通過流量監(jiān)控等方式檢測漏洞，發(fā)現(xiàn)問題后由安全部門同事確認并提交長安工單（數(shù)據(jù)安全類型）

七、未來規(guī)劃

1、安全測試常態(tài)化持續(xù)推進

2、安全知識持續(xù)提升

作者：京東物流范文君

來源：京東云開發(fā)者社區(qū) 自猿其說Tech 轉(zhuǎn)載請注明來源

關(guān)鍵詞：