注册 登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

那些星星点点的微芒,终会成为燃烧生命的熊熊之光

 
 
 
 
 

日志

 
 

业务安全测试 谁之责?  

2014-03-02 16:18:04|  分类: 随笔杂谈 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

先声明,该文章没有技术性的干货~!


先来看个漏洞吧 支付宝/淘宝帐号无需密码登录任意帐号,随意查看用户资料/交易记 wooyun中的 提交地址

很明显,起初是因为业务上的问题从而涉及用户账号甚至财产窃取泄露变成了一个看上去相当严重的漏洞。

以上内容只是个引用,不带丝毫的针对性,毕竟关系不大。

哪些算是业务上的安全测试呢?随便打个比方吧。只是随便,没打算做深入探讨。
业务安全测试 谁之责? - ... - 小风

安全是在业务功能这些之上的。如若这么基本的业务上的安全都控制不了,只关注那些所谓的通用漏洞,那还有什么个意思。
 

谁来负责?

开发团队
程序是他们写的。对,每人所写出来的code不管是在风格规范上还是code质量上都归结于他们自身。稍微有点安全和质量上的意识他们会在写之初已在脑中编织好那段避免问题出现的code,这是预防。再个是自测。程序自己来做的,每个逻辑呈现/业务接口这些最熟不过了(有这种自测意识或时间上排的开的情况之下,攻城师们当然会自测。不过时间上充足的程序猿这种情况应该很少,换句话来说,我自测还要你们测试做啥子嘛)。当然不能排除的是拿他人代码来二次开发再因项目紧张或其他云云因此而疏之大意的情况。

所以,招一个相对有这种意识靠谱的人员来说是对公司的一种负责,也是对求职者的负责。

安全团队
在安全领域工作的伙伴都知道,能长期性的控制某台server或能以最快的方式得到想要再或者是想证明的东西,这就是安全渗透的目的。
可在此之间,我们或许会忽略某个业务上的问题,因为安全从业者往往都有一种对技术的崇尚和挖掘。小的问题有时我们会遗忘甚至压根没看在眼里。可往往问题或者漏洞就在这些被无视所忽略的情况间被体现出来。小问题不可怕,可怕的是将这些小问题连起来。

用或许的原因是这篇文章是针对安全流程较不规范或者说不够充分的公司(相信这样的公司不会在少数吧,特别是在国内)。

测试团队
我是不会告诉你我是打做测试然后搞安全的。能够更好的控制一个东西的质量,往往最最重要的就是测试了(安全,个人理解也算是测试的一种,一种证明安全的测试过程)。当然,开发团队也尤为重要。这是一个阴阳调和的说法。测试的工作有白盒、功能、自动化、性能和安全等。而往往,在测试团队中很少有安插安全测试的再或者说即便安插了但未到位未起到一个跟安全团队之间有阴阳调和的效果。加上安全团队技术能力的突出甚至对其他团队的一种轻视再加上IT男的沟通问题,无形之中我们把各团队分隔了。

这样一来,因项目紧张程序猿未来得及自测,安全团队少了些对业务安全的测试,加上测试团队中安全人员的"匮乏",问题出来了。

写到这,其实都应该看出来该咋办了。
互补一下,安全组把业务上的测试抓紧些定期做知识共享和普及,开发团队意识和自测会随着安全和上级的推动而增加,测试团队里安全这块儿该安插的安插了该提高了提高了(这样的话,SDL和其他流程里好像也得加点什么了,就不写了吧)。

也不能保证这样一来就不会再有任何的安全问题产生,人都是会犯错的,道高一尺魔高一丈嘛。我们只是在一个理所应当的层面之上设了道防御,多多少少终会减少些事件发生吧。

共勉。



末尾
不拘泥于形式的创新、开放的分享、自由独立的思想、平等、对未知的狂热!  致 Hacker spirit 
  评论这张
 
阅读(142)| 评论(0)
推荐

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018