应用层安全方案

背景

根据一份报告显示,大约80%的安全问题发生在应用层,但是在应用层的投入相对匮乏。

image.png

造成上面的原因很多,其中比较突出和普遍的原因就是研发团队没有足够的安全意识,常常把安全放在最后,作为一种nice to have的事情,由于交付压力,安全测试常常被砍掉。

自动化安全

之前常常通过新闻的渠道才知道某某库出现了安全漏洞,然后通过手动的方式去查看,这种方式非常的耗时,低效。

所以我们做自动化安全,把安全相关的检测和测试,集成到jenkins流水线中,持续的获取到我们应用的安全状态,并做持续改进,避免安全造成的公司财务或者名誉损失。

自动化流水线:
image.png

源码安全扫描

常见的源码级别的静态安全扫描有Fortify(收费),FindSecurityBugs,Sonar+FindBugs,通过这些工具,它们可以快速识别代码中的安全风险,并给出修复提示。
如图“Sonar+FindBugs插件”:

sonar.png
具体配置请参考:https://find-sec-bugs.github.io/

第三方依赖安全监测工具

1
80%的代码不是你写的,而来至于第三方依赖

比如知名的Apache structs2有一个版本就有远程代码执行漏洞,OpenSSL Heartbleed就存在过服务器内存泄露等问题,一般针对JAVA应用,推荐使用OWASP DependencyCheck来做三方依赖的安全监测工具,只需要引入Maven或者gradle插件即可。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<project>
...
<build>
...
<plugins>
...
<plugin>
<groupId>org.owasp</groupId>
<artifactId>dependency-check-maven</artifactId>
<version>4.0.0</version>
<executions>
<execution>
<goals>
<goal>check</goal>
</goals>
</execution>
</executions>
</plugin>
...
</plugins>
...
</build>
...
</project>

具体配置请参见: https://jeremylong.github.io/DependencyCheck/dependency-check-maven/

其一般工作原理如下(需要网络连接):
image.png

应用渗透测试工具

常见的开源安全工具ZAP,它是一个黑盒测试,即在应用程序处于运行状态下对其进行测试,其优点是:无须获取源代码,可发现不安全的配置、页面安全缺陷、以及第三方接口安全问题。

运行界面如下:
image.png

ZAP也提供了Jenkins插件和docker镜像,很容易将其集成进我们的流水线,成为持续集成中的一部分。

具体配置请参见:
https://wiki.jenkins.io/display/JENKINS/zap+plugin

针对数据库,可以使用sqlmap, 它是一个开源的渗透测试工具,对不同类型的数据库进行渗透测试,比如sql注入和数据库越权。

具体配置请参见:
http://sqlmap.org/

常见安全注意事项

  • 响应头和错误页面中不要包含服务器的版本信息
  • 响应中添加安全响应头:X-Frame-Options、X-XSS-Protection、X-Content-
    Type-Options、HSTS
  • 关闭spring的actuator接口
  • 错误响应( 如400、500)中不要包含敏感信息( 如错误堆栈)
  • 如果使用tomcat,注意关闭管理接口
  • 如果使用swagger,关闭在产品环境下的接口
  • API没有任何认证
  • API没有进行限速
  • 在应用外围部署WAF
  • 应用对输入数据进行有效性验证或进行参数化查询
  • 数据库连接账号隔离以及权限最小化
  • 敏感数据加密存储