既然越权扫描器不能解决所有的业务逻辑漏洞,那么尝试改变生产关系?在业务、产品、开
发、测试、安全之间合作关系的变化中,每个人都应该对APP安全负责。业务逻辑漏洞的解决方
案分为三个行动:架构安全审查、质量保证覆盖和风险再提供。
1、APP安全检测
为什么要做建筑评论?究其原因,可以从本文微服务架构下的越权风险、开发模式和开发架构的
变化,以及许多类似Gateway的APP的出现等方面来看。如果这些APP的架构不安全地参与评估
,往往会导致整个系统的框架权限失效,极难修复。这里需要注意的是,并不是所有的APP都需
要参与架构安全审查,否则很容易陷入“人力比”的困境,要根据实际情况选择审查策略。
变化,以及许多类似Gateway的APP的出现等方面来看。如果这些APP的架构不安全地参与评估
,往往会导致整个系统的框架权限失效,极难修复。这里需要注意的是,并不是所有的APP都需
要参与架构安全审查,否则很容易陷入“人力比”的困境,要根据实际情况选择审查策略。
2.QA覆盖率
QA中的人力往往比较充裕,会覆盖所有的发布和迭代,所以试想一下,如果测试生帮我们做一些
安全测试工作,不仅覆盖面大幅度提高,还能把安全体验集中在其他环节。那怎么做呢?一是要
明白业务逻辑漏洞既是漏洞也是bug,是达成共识的关键;第二,测试学生不是专业安全,不可
能覆盖所有类型的漏洞。要有选择,重点关注越权等风险类型;第三,是风险恢复。
安全测试工作,不仅覆盖面大幅度提高,还能把安全体验集中在其他环节。那怎么做呢?一是要
明白业务逻辑漏洞既是漏洞也是bug,是达成共识的关键;第二,测试学生不是专业安全,不可
能覆盖所有类型的漏洞。要有选择,重点关注越权等风险类型;第三,是风险恢复。
3.风险恢复
即使经过各种审查和测试,网上也肯定会有漏洞。此时,有必要进行深入的风险重新检查。复测
的目的是什么?找出漏洞的根本原因。如果应用程序架构有问题,那么就拉项目,改变架构。如
果是人的问题,要考虑安全意识。至于哪些风险需要再做,这个要根据目前的安全情况有选择的
再做。其中一个关键点是,开发、产品和测试都应该参与到重新提供中。
的目的是什么?找出漏洞的根本原因。如果应用程序架构有问题,那么就拉项目,改变架构。如
果是人的问题,要考虑安全意识。至于哪些风险需要再做,这个要根据目前的安全情况有选择的
再做。其中一个关键点是,开发、产品和测试都应该参与到重新提供中。
第二点:APP安全评估。
红蓝对抗、安全公测、漏洞扫描等详细流程。将不在本文中讨论。有很多文章介绍了这几个方面
,作者重点介绍了这个环节的重要性。安全评估相当于检查泄漏和填补空白,并测试安全开发的
效果。要和黑灰生产争时间,想办法在他们之前找到风险。这个阶段发现的每一个风险都是通过
投入大量的人力、物力、财力获得的,所以要充分利用它的价值而不是固定它。通过这个环节发
现的每一个高风险风险,都要用“风险重关”来关闭,要深入发现风险的根本原因。
,作者重点介绍了这个环节的重要性。安全评估相当于检查泄漏和填补空白,并测试安全开发的
效果。要和黑灰生产争时间,想办法在他们之前找到风险。这个阶段发现的每一个风险都是通过
投入大量的人力、物力、财力获得的,所以要充分利用它的价值而不是固定它。通过这个环节发
现的每一个高风险风险,都要用“风险重关”来关闭,要深入发现风险的根本原因。
