企业级代码安全最佳实践 止介 <feei@feei.cn> Feei • 企业级代码安全实践 • Meili-Inc �介绍 吴止介( Feei) ‣ ‣ ‣ ‣ 白帽 C obra 作者 专注 W eb 应用漏洞自动化挖掘 美联集团 安全研究员 & 开发工程师 Feei • 企业级代码安全实践 • Meili-Inc �议程 ‣ 一次常规漏洞挖掘 - 黑白盒异同 ‣ 企业对代码安全的刚需 ‣ C obra - 企业级开源代码安全审计系统 Feei • 企业级代码安全实践 • Meili-Inc �一次常规的漏洞挖掘 - 黑白盒异同 # utility.php function curl_request($url) { $ch = curl_init(); /* * 搜索规则定位的漏洞点 */ curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_exec($ch); curl_close($ch); } # file1.php function f1($param) { return curl_request($url); } $url = $_GET[‘url’]; f1() # file2.php function f2() { $url = 'http://wufeifei.com'; return curl_request($url); } f2(); 黑盒 1. 爬取所有请求(收集) 2. fuzz 所有请求(检测与修复判断) 白盒 3. 定位漏洞点(检测) 4. 是否修复(修复判断) 5. 扫描所有代码(收集) 人工 6. 7. 为黑白盒提供规则 为修复漏洞提供完善方案 Feei • 企业级代码安全实践 • Meili-Inc �溯源 企业对代码安全管理的刚需 ‣ 代码安全的重要性 ‣ 漏洞多:发现各类语言的常见漏洞和新型漏洞 ‣ 响应快:能快速覆盖大量项目的安全问题 ‣ 准确率好:漏洞误报率要低 ‣ 省时、省力:自动化(扫描、发现、报告、修复、统计) Feei • 企业级代码安全实践 • Meili-Inc �Cobra Cobra- 开源企业级代码安全审计系统 Feei • 企业级代码安全实践 • Meili-Inc �Cobra Cobra 设计理念 1. 2. 3. 4. 不能直接利用的漏洞也是风险 白盒为主,黑盒为辅 优先解决源头问题 / 杜绝同类问题 重犯 极致自动化 Feei • 企业级代码安全实践 • Meili-Inc �Cobra Cobra- Features ‣ ‣ ‣ ‣ ‣ 开放源码 兼容性 多语言支持 多漏洞支持 自动化 https://github.com/wufeifei/cobra Feei • 企业级代码安全实践 • Meili-Inc �Cobra Cobra 开放源码 Feei • 企业级代码安全实践 • Meili-Inc �Cobra Cobra 兼容性 Feei • 企业级代码安全实践 • Meili-Inc �Cobra Cobra 多语言支 持 Feei • 企业级代码安全实践 • Meili-Inc �Cobra Cobra 多漏洞支 持 Weak Function Variables Override XML/XXE Injection Unserialize SQL Injection xPath Injection Stack Trace URL Redirect LDAP Injection Code Execute LFI/RFI Information Disclosure XSS Header Injection CSRF Resource Executable Buffer Overflow SSRF Deprecated Function Logic Bug Hard-coded Password Command Execute Feei • 企业级代码安全实践 • Meili-Inc �Cobra Cobra 自动化 触发 Trigger 重扫 Rescan 修复 Fixed 扫描 Scan 报告 Report Feei • 企业级代码安全实践 • Meili-Inc �Cobra Cobra 应用场 景 A. 日常安全扫描 B. 新漏洞应急评估 C. 三方依赖基线 Feei • 企业级代码安全实践 • Meili-Inc �Cobra A. 日常安全扫描 ‣ ‣ ‣ ‣ 自助扫描 代码发布系统 代码持续集成 GIT 集成服务 Feei • 企业级代码安全实践 • Meili-Inc �Cobra B. 新漏洞应急评 估 Feei • 企业级代码安全实践 • Meili-Inc �Cobra C. 三方依赖基线 Feei • 企业级代码安全实践 • Meili-Inc �Cobra Cobra 初见成效 项目个数:≈ 2700 个 文件个数:≈ 765 万个 代码行数:≈ 3.5 亿行 平均时间:≈ 2.7 秒 / 项目 总漏洞数:≈ 34000 个 高危漏洞:≈ 2000 个 Feei • 企业级代码安全实践 • Meili-Inc �Cobra 下一步计划? ‣ 持续优化 Cobra ,使误报率降至 5% 以内 ‣ 降低使用成本,让更多企业 / 个人使用 上 ‣ ‣ 对外提供官方站点供全规则检测 逐步开源通用扫描规则 Feei • 企业级代码安全实践 • Meili-Inc �Q&A Feei • 企业级代码安全实践 • Meili-Inc �
2017-《企业级代码安全实践》
温馨提示:如果当前文档出现乱码或未能正常浏览,请先下载原文档进行浏览。
本文档由 张玉竹 于 2022-04-08 09:05:11上传分享
