专栏特辑 | 开发安全铁三角纵横谈(十八)安全监测工具漫谈

admin 2022年11月24日10:25:01安全开发评论3 views1490字阅读4分58秒阅读模式

专栏特辑 | 开发安全铁三角纵横谈(十八)安全监测工具漫谈

专栏特辑 | 开发安全铁三角纵横谈(十八)安全监测工具漫谈
开发安全铁三角

为了能更好地理解今天所讲,请大家先回顾一下之前“开发安全铁三角纵横谈”内容:专栏特辑 | 开发安全铁三角纵横谈(十七)依赖项扫描与容器扫描


密码检测

是分析你的源代码和git历史中的密码,防止密码泄露。
在源代码审计中有hardcode的审核,叫硬编码漏洞,跟密码检测比较接近。实际的密码检测会结合一些常见的应用如Github,以及常见的API认证等,发现相关的密码,防止密码泄露。
通常密码检测会检测以下常见密码:

云服务

Amazon Web Services (AWS)
Google Cloud Platform (GCP)
Heroku API

密钥

PKCS8
RSA
SSH
PGP
DSA
EC
社交平台:
Facebook API
Twitter API

云SaaS服务供应商

GitHub API
Shopify API
Slack Token
Slack Webhook
Stripe API
Twilio API
Generic API key strings starting with api-
URL中包含密码
美国社保序号
在国内,大家可以补充:
中国身份证号;
微信API等

Coverage Fuzzing

Fuzzing模糊测试,是指通过输入特殊的参数(比如:特别长,含特殊字符等)等,测试系统在面临预想之外的输入时,会不会发生系统崩溃等问题。
这种问题通常出现在没对参数进行合理检查,如长度限制等。
要想让模糊测试充分发挥作用,最好本身有自动化测试能力,在自动化测试脚本中,增加一些按特殊规则产生的随机参数,就能实现完美的模糊测试。
大部分模糊测试工具以源代码或者脚本形式存在,让开发团队进行针对性修改,以发挥最好的测试作用。

API模糊测试

API模糊测试是针对API接口的参数进行特殊化处理,观察API会不会崩溃等的一种模糊测试,对API的安全比较重要。

许可证合规

这个是前面SCA软件成分分析中已经提到。在分析完软件中所包含的开源组件后,既可以根据组件信息去发现漏洞,也可以利用组件信息去分析该组件的开源许可证,发现许可证协议可能带来的风险。

国内大多数SCA软件都是包含这个功能的,不用再单独检测。
除Gitlab上列出的以上安全检测工具以外,还有两款工具值得讨论,IAST和RASP。

IAST

交互式应用安全测试(Interactive application security testing IAST)是一个在应用中自动化识别和诊断软件漏洞的技术。它的核心技术是插桩(Instrumented),叫插桩(Instrumented)式应用安全测试更能准确描述它的技术特点。IAST持续地从内部监控你应用中的代码和数据流,发现应用中存在的漏洞。IAST最显著的特性是它使用插桩来收集安全信息,直接从运行中的代码发现问题,不是源代码扫描(SAST),也不是HTTP 扫描(DAST)。插桩是利用WEB中间件,接触到运行代码,可以对运行代码进行审计,也可以在运行代码中插入收集数据流的代码,实现对运行的数据流检测。
可以通过对比来理解IAST、DAST、SAST的区别:

专栏特辑 | 开发安全铁三角纵横谈(十八)安全监测工具漫谈

IAST最大的问题是:
部署复杂,实施较重;
早期IAST只检测较少漏洞,漏报率高,误报率极低;现在国内的IAST产品检测漏洞种类越来越复杂,有些漏洞种类未必是IAST擅长的,导致现在IAST误报率也比较高,实用性反而变差。

拓展阅读


再度登榜 | 国舜股份入选2022《中国网络安全企业100强》

国舜4大新品发布 | 整合安全能力,赋能安全运营与整体防护升级

专栏特辑 | 开发安全铁三角纵横谈(十七)依赖项扫描与容器扫描

专栏特辑 | 开发安全铁三角纵横谈(十八)安全监测工具漫谈

原文始发于微信公众号(国舜股份):专栏特辑 | 开发安全铁三角纵横谈(十八)安全监测工具漫谈

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月24日10:25:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  专栏特辑 | 开发安全铁三角纵横谈(十八)安全监测工具漫谈 https://cn-sec.com/archives/1424863.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: