“安全”开发之“坑无止境”

永信至诚(i春秋)-------吴 海涛

2016-4-23

一个小故事

白帽子的“上帝视角”

安全检测工具反被**



自动安装AcuWVSSchedulerv10



AWVS 10



• 运行在system权限下的。 • 监听本地的8183端口； • 直接调用接口来添加新的扫描任务。 • 命令行下一个参数为/run，通过它

可以执行系统任意命令



——素材来源于网贴《如何优雅的反击扫描你网站的黑客》

原始利用代码



改造后的代码



这个漏洞是可以通过CSRF主动触发的



实现的目的:可再自己的网站上添加一段 Js代码，加入类似“shutdown”的命令， 来实现远程干扰。

常规使用视角

制定安全扫描策略 扫描任务的 调度与制定 安全检测

生成报告



白帽上帝视角



制定安全扫描策略



任意 代码 执 行？



扫描任务的 调度与制定

包含 漏 洞？



影响检测进行

TIPS: 1.安全软件本身也不是安全的 2.为了便携性、易用性增加的功能，可能会 带来新的安全隐患

主题正式开启

理论上开发过程中我们



是这样保障安全的

实际到底发生了什么？



在BUG管理系统上提交了这些Bug：



处理结果……



u 部署在内网的管控软件，http协议，管理中 心与客户端通信，明文---建议更改为https传 输。

u 将内存调整为512MB时，前台服务未崩溃， 但是无法收取策略信息。

u 密码首次登陆没有强制修改



u 设计如此 u 非功能性Bug u 延期处理 u ……



u 登陆提示过于明确，容易被爆破。



u …………



PS：然而，我们开发的 也是一套安全防护产

品……

终于有一天



拿漏洞扫描 工具扫扫再

上线吧



技术总监看到了这么一个披露的漏洞后……

简单的实施了“安全”开发……

B/S模式的软件

• 管理中心：基于tomcat， java编写

• 客户端为：c编写

主要的问题： 1.CSRF跨站点伪造 2.弱口令 3.SQL注入：http隐藏域每次会话令牌不唯一 …………

当问题反馈给研发时， 得到的答复如下：



早知道这个 问题，之前 懒得改……

测试工程师的现实尴尬

这个不是 功能问题！



苦逼的测试工程师



曾经遇到过 这些回 答……



你为啥这 么测试？ 有用吗？

你先测试 别的，这 个问题我 知道了



当不小心，在测试中提出了产品中得 安全问题时，我遇到的回答……



……

当我是一名信息安全咨询工程师 ——经历的两三事

“坑无止境”之安全意识的薄弱--某次真实渗透测试案例

蹭网连接

无线破解

wifi万能钥匙



无线嗅探

端口、服务扫 描



测试报告

汇总、分析



wpa密码破解



资产初步发现



修复建议



基于sock5，做数据包转发，连接成功后，远程进行扫描与检测

检测问题汇总

系统账号密码弱口令

•123456、空密码 •与公司简称有关的英文组成

开发环境弱口令

•项目管理系统登陆弱口令

密码通用

开发环境的安全配置不重视

•列目录

wifi随意开放或弱口令

个人PC弱口令.敏感文件随意存放

内网平台或产品漏洞

•自身软件平台存在漏洞，被利用

公司产品本身存在Struts2远程代码执行漏洞



目录遍历、弱口令等造成 的研发信息泄露

“坑无止境”之安全意识的薄弱—类似的案例

“坑无止境”之安全意识的薄弱 —追踪落地之女程序员

基本信息的整合



2g，信号不好 -->县份



消费水平低 -->县份



山多



-->盆地



有湖



-->可用百度地图查找相似地



十几公里外就是海 -->判断地理位置



地理位置偏远



-->远离市区



市里空气不好



-->确定不在市区



地方话严重



-->非本地人，地方话严重



河对面热闹



-->县被河贯穿



酒店



-->非本地人



山多，温州有机场 -->温州附近



ap名：qthjfsbg... -->ap有利判断



作息：早8:20左右 -->了解作息，方便贴靠



关注北京天气



-->关注城市

青田皇家风尚宾馆



越来越多的信息泄露，就来源 于我们平时无意的对话中，你

的朋友圈还好吗？



是不是想到 了类似的案

例？



…………

除了公司外，还有哪些地方适合加班？

“坑无止境”之安全意识的薄弱—熟悉的场景

开发小项目组，相约一起去星巴克写代码，赶项目。 或许：

直接连接星巴克的公共wifi，然后开始噼里啪啦的码代 码，之后可能发生什么事情？

伪造周边的wifi网络，设置为无密码状态

通过伪造虚假响应包(Probe Response)来回应 STA(Wireless station，手机、平板等客户端等) 探测(Probe Request)的攻击方式，让客户端误认 为范围内存在曾经连接过的WiFi热点，从而骗取

客户端的连接。

然后发生了什么？

按照IEEE802.1X标准，第2步骤中AP是不应当应答STA发来的探测请求包

“坑无止境”之安全意识的薄弱—现场测试的结果 是不是发现我们的人生步步是坑？

回头再看微软SDL

l 安全培训(training)：推广安全编程意识？？？ l 需求分析(requirements)： 寻找安全嵌入的最优方式 l 系统设计(design): 威胁建模设计 l 实现(implementation)： 安全开发 l 验证(verification)： 黑/白盒测试 l 发布(release)： 最后检查确认 l 响应(response)：应急响应，bug跟踪解决

上线后出来的问题也没有想象中那么多，一些人为因素使用除外！

人是安全体系中最薄弱的环节

• 安全系统是人设计的，人的 知识、技术水平决定了系统 的可靠性

• 安全系统是人运营的，人的 可靠性直接影响到整个系统

• 信息安全的核心是人（法人） 的安全，人自身的安全意识 （能力）的水平直接决定了 信息安全系统的稳定

“坑无止境”之重新拾回安全意识的培训



“人是最薄弱的环节。你可能拥有最好的技术、防火墙、入侵检测系统、生

物鉴别设备，可只要有人给毫无戒心的员工打个电话……”。



也许可以从这些 方面入手：



——Kevin Mitnick 弱口令、社会工程的防范等安全意识的普及 敏感信息的加密、隔离

防黑客意识的编程思维



了解应用程序的相关漏洞



……

我们在做的一些事情

i春秋： 培育信息 安全时代 的安全感

i春秋，让信息安全走入寻常百姓家

i春秋，让信息安全走入寻常百姓家

我们在做的一些事情

目前可以用Android手机、笔记本、PC进行测试

可喜的是

无论是三五人的团队， 还是数千人的研发中心 越来越多的人把安全放到了至关重要的地位。

THANK YOU 网址：www.integritytech.com.cn