測試之美-客戶端安全無懈可擊安全測試方法一站式指南.pdf

1、客戶端安全無懈可擊：安全測試方法一站式指南分享人：曹微個人簡介姓名：曹微所在組織：技術中臺-質量工程部專業領域：客戶端安全測試目錄010203安全的重要性程序利用的案例分析客戶端安全測試模式04客戶端安全測試方法安全事件勒索事件 2017，WannaCrypt（永恒之藍）勒索蠕蟲，150多個國家超過23萬臺電腦被感染，損失超過百億美元 2022，英國著名汽車經銷商集團Pendragon遭到Lockbit勒索軟件的攻擊，贖金達6000萬美元數據泄露 2017，美國信用評級公司Equifax，1.4億用戶信息被泄露 2018，亞馬遜，5萬員工信息泄露 2021，Facebook，5億用戶信息泄露國

2、家攻擊 2017，烏克蘭政府和企業被勒索木馬攻擊 2020，美國太陽風（SolarWinds）供應鏈攻擊 2022，西北工業大學被美國國家安全局NSA攻擊70%軟件漏洞網絡釣魚國家政策沒有網絡安全就沒有國家安全中華人民共和國網絡安全法信息安全等級保護管理辦法計算機信息網絡國際聯網安全保護管理辦法中華人民共和國電子簽名法計算機信息系統國際聯網保密管理規定涉及國家秘密的計算機信息系統分級保護管理辦法互聯網信息服務管理辦法中華人民共和國計算機信息系統安全保護條例1、中華人民共和國網絡安全法2、中華人民共和國保守國家秘密法3、中華人民共和國國家安全法4、中華人民共和國電子簽名法5、計算機信息系統國際聯

3、網保密管理規定6、涉及國家秘密的計算機信息系統分級保護管理辦法7、互聯網信息服務管理辦法8、非經營性互聯網信息服務備案管理辦法9、計算機信息網絡國際聯網安全保護管理辦法10、中華人民共和國計算機信息系統安全保護條例11、信息安全等級保護管理辦法12、公安機關信息安全等級保護檢查工作規范(試行)13、中辦、國辦轉發國家信息化領導小組關于加強信息安全保障工作的意見(中辦發200327號)14、中辦、國辦關于進一步加強互聯網管理工作的意見(中辦發200432號)15、中央網信辦關于加強黨政機關網站安全管理的通知(中網辦發文20141號)16、中央網信辦關于印發的通知(中網辦發文20145號)17、國

4、家發改委5部委關于進一步加強國家電子政務網絡建設和應用工作的通知(發改高技20121986號)18、工業和信息化部關于印發的函(工信部協函2013259號)19、廣東省信息化促進條例20、廣東省計算機信息系統安全保護條例21、廣東公安網安部門信息安全檢查細則22、省公安廳關于繼續深休我省信息安全等級保護工作的通知(粵公通字2011124號)23、關于切實加強我省涉外國家安全和保密工作的意見(粵辦發200512號)24、關于進一步加強互聯網管理工作的意見(粵辦發200525號25、關于加強和改進我省互聯網管理工作的意見(粵辦發201238號26、關于加強我省工業控制系統信息安全管理的意見(粵信辦

5、20123號)27、省保密局、省公安廳、省安全廳、省經濟和信息化委員會、省通信管理局聯合開展信息安全保密檢查工作制度28、通信網絡安全防護管理辦法(工業和信息部令第11號)29、電信和互聯網用戶個人信息保護規定(工業和信息部令第24號)客戶端安全測試重要性分析網絡四要素通信線路和通信設備有獨立功能的計算機網絡軟件支持Windows客戶端應用程序網絡協議Forrester 2020 年發布的調查報告Forrester Analytics Global Business Technographics Security Survey，2020什么是安全性安全性：產品或系統保護信息和數據，以便人員或其

6、他產品或系統的數據訪問適當的程度，他們的類型和級別的授權程度。安全性子特性包括：保密性、完整性、抗抵賴性、可核查性、真實性2、程序利用的案例分析應用程序被利用的過程執行“身份證正面.com”帶有白簽名 漏洞：緩沖區溢出讀取ereg.ini 構造超過緩沖區長度的配置數據，覆蓋SHE異常處理鏈，劫持漏洞程序跳轉執行shellcode執行X 保存有shellcode2執行A 利用“騰訊簽名”附帶遠控木馬客戶資料.rar3、客戶端安全測試模式模式轉變SDL（安全開發生命周期）devsecops構建保障重點 編碼安全、引用安全自動化測試 AST、SCACICD工具鏈4、客戶端安全測試方法安全威脅模型ST

7、RIDE仿冒篡改抵賴信息泄露拒絕服務權限提升攻擊方法舉例仿冒繞過認證中間人攻擊文件劫持數字簽名利用SQL注入遠程代碼注入重放攻擊會話劫持篡改抵賴信息泄露拒絕服務權限提升數據共享方式選擇不當社會工程學攻擊分布式拒絕服務(DDoS)緩沖區溢出組策略篡改旁路控制windows客戶端常見的安全性問題信息04明文存儲日志中帶有敏感信息SQL暴露調試日志泄露權限03用戶權限異常進程間調用的權限繼承引用第三方產品權限沒控制UAC繞過內存02內存泄露內存溢出內存中存在敏感信息文件01文件操作權限過大文件加載前沒做校驗文件（模塊）加載方式沒有安全控制措施UNC劫持Windows客戶端程序測試方法舉例信息泄露數據

8、存儲安全檢查日志、代碼、二進制、配置文件、中間敏感文件、注冊表、數據庫、調試日志，是否明文儲存敏感數據debugview數據傳輸安全性密碼、SQL語句暴露，明文傳輸（登錄、認證、數據庫等）非必要的數據傳輸wireshark反調試程序反調試或叫反逆向分析IDA內存檢查內存中是否存在明文敏感數據winHEX物理設備檢查鍵盤防監聽、U口、防截屏XT仿冒文件劫持DLL劫持、白利用、program劫持Process Hacker遠程劫持遠程線程劫持、遠程代碼執行注入工具消息HOOKSetWindowsHookEx()XTAPIHOOKLoadLibrary/LoadLibraryA/LoadLibrar

9、yWAPI MonitorSQL注入數據庫簽名檢查簽名有效性、簽名校驗signtoolPE檢查導入表、Depends、manifestdepends、PEview拒絕服務溢出測試內存溢出、程序崩潰appverifier編譯選項檢查ASLR、DEPbinscope權限提升弱口令檢查Admin,123等文件、注冊表、進程權限檢查本身的權限檢查、調用鏈的權限檢查、不同用戶調用的權限合理性檢查權限控制UAC生效測試階段的安全測試創建驗證預發布代碼掃描編譯選項檢查簽名驗證PE分析mainifest檢查二進制中敏感信息掃描配置文件中敏感信息掃描針對代碼、二進制、文件，靜態檢查溢出、崩潰檢查文件劫持掃描簽名

10、校驗遠程注入檢查數據傳輸、數據存儲安全性檢查消息HOOK檢查API HOOK檢查針對程序執行過程、中間生成物，動態檢查常規安全checklist回掃針對發布產物高ROI、早發現、提高漏洞利用的門檻單 擊 此 處 添 加 文 本 具 體 內 容，簡 明 扼 要 的 闡 述 您 的 觀 點。檢查方法說明GOT寫保護，盡量減少可寫的存儲區域RELRO堆棧溢出哨兵，當啟用棧保護后，函數開始執行的時候會先往棧里插入cookie信息，當函數真正返回的時候會驗證cookie信息是否合法，如果不合法就停止程序運行。CANARY代碼段、數據段地址隨機化,通過隨機放置進程關鍵數據區域的地址空間來防止攻擊者能可靠地

11、跳轉到內存的特定位置來利用函數PIE(ASLR)堆棧禁止執行，基本原理是將數據所在內存頁標識為不可執行，當程序溢出成功轉入shellcode時，程序會嘗試在數據頁面上執行指令，此時CPU就會拋出異常，而不是去執行惡意指令。NX(DEP)常用函數加強檢查，fority其實非常輕微的檢查，用于檢查是否存在緩沖區溢出的錯誤。FORTIFY編譯選項檢查檢查方法說明PE文件檢查PE文件的全稱是PortableExecutable，意為可移植的可執行的文件，常見的EXE、DLL、OCX、SYS、COM都是PE文件，PE文件是微軟Windows操作系統上的程序文件.PE文件是指32位可執行文件，也稱為PE3

12、2。64位的可執行文件稱為PE+或PE32+,是PE(PE32)的一種擴展形式（請注意不是PE64)。PE文件的導入表中如果存在非系統文件，是一個不安全的加載操作。檢查方法說明應用程序驗證程序(AppVerifier)是一種適用于非托管代碼的運行時驗證工具，可幫助查找難以通過普通應用程序測試技術識別的細微編程錯誤、安全問題和有限的用戶帳戶特權問題?？梢酝ㄟ^“Windows軟件開發工具包”啟用。檢查方法說明單擊此處添加標題工具signtool.exe、Process Explorer、Process Monitor、windbg、debugview、gflags，等滲透方法MITRE ATT&CK、NTCFT安全測試報告單擊此處添加標題安全問題分級GBT 20986-2023 信息安全技術 網絡安全事件分類分級指南安全測試報告可讀性強包含問題概要、問題描述及復現、問題分級、影響范圍、修復建議THANK YOU