百度技术沙龙第3期 Web 安全经验分享

当前,Web 安全威胁愈演愈烈,对于用户而言 Web 安全即是一场灾难,然而对于互联网公司而言 Web 安全则是很大的挑战。那么在威胁不断加重的 Web 安全面前,我们应该如何应对?

 

在 6 月份的 QClub 活动暨百度技术沙龙第三期(6 月 26 日)上,InfoQ 中文站很荣幸邀请到百度的方小顿以及淘宝的张玉东与大家分享“互联网公司 web 安全挑战与防护思路浅谈 ”以及“互联网公司推行 SDL(Security Development Lifecycle)的经验和教训”两个话题。本文将对他们的演讲内容 / 本次活动进行一下简单的总结。

 

Web 安全带来的挑战

 

第一个演讲是由百度的方小顿带来的,他主要介绍了互联网公司的 Web 安全挑战,并分别从攻击者和防护者的角度对 Web 安全进行剖析,其中结合了百度在这方面的经验和心得。包括以下内容点:

 

  • Web 应用的发展历程
  • 过去、现在、将来,找清楚自己的位置
  • 互联网公司 Web 安全的挑战
  • 什么是 Web 安全
  • 成百上千的 Web 应用
  • 成千上万的服务器
  • 开发者与维护者安全意识参差不齐
  • 承受可能来自整个 internet 的攻击尝试
  • 站在攻击者的角度
  • 了解目标公司的网络分布
  • 了解目标网络里的应用分布
  • 深入了解目标网络
  • 尝试网络应用里的各种漏洞
  • 攻击 Web 应用
  • 由点入面攻击网络
  • 站在防护者的角度
  • 问自己几个问题
  • 做好运维管理、上下线流程、日志管理
  • 端口扫描、应用级扫描、应用程序分析
  • 建立网络应用数据库
  • 分析数据库、常见安全漏洞
  • 应用程序监控
  • 做的更多、看得更远

 

针对大请求,多应用的状况,如何来进行监控,方小顿强调:

 

对单一应用或者应用不多的情况下,不建议通过监控的方式来分析,因为大多可能都是单一的 post 请求,分析起来,没有什么意义。所以,针对这种情况,我们更倾向用其他方式来解决,比如测试、SDL 等方式来解决。

 

在互联网公司推行 SDL

 

SDL(Security Development Lifecycle)在传统软件行业已经日趋成熟,但是在互联网公司中还是一个比较新鲜的概念。淘宝技术保障部技术安全主管张玉东(黄眉)从传统软件行业推行 SDL 和在互联网公司的区别入手,阐述在互联网公司推行 SDL 所面临的挑战,分享了他们在推行 SDL 过程中积累的一些经验教训,内容主要包括:

 

  • SDL 的简介
  • 与传统软件行业 SDL 的区别
  • 为什么需要 SDL
  • 威胁建模(方法)
  • 推行 SDL 的困难、挑战和经验

 

要想推行 SDL,沟通是非常重要的,张玉东强调:

 

这个沟通会涉及到很多方面,比如说,要与所有的开发业务线、产品业务线,这些部门中的负责人达成共识,让他们对 SDL 认可,这样才能从上往下的去推进。另外一点是,这个流程是不是被大家所接受,也需要沟通。不是说,定一个流程,让大家去做,就可以了。要把这个流程,拿出来,放在大家面前,让大家去 PK,提出这个流程会有什么问题,不断的去完善它。最后大家统一了、认可了,就很容易去搞了。

 

实施 SDL 必然会增加研发成本,有读者问道,对于小公司,它是否适宜。张玉东解释到:

 

对于小公司,我的建议是,因为人力成本有限,另外,也不可能做得像大公司那么的标准化,这不单单是安全投入上的成本,流程本身也会增加成本。小公司的开发是很讲究效率的,所以,更应该从技术角度去解决问题,比如增加安全测试、上线之后增加安全扫描和安全监控,这样会比较实用和现实一些,如果想在前期需求和设计阶段,就介入的话,难度会比较大。

收藏 评论(1)
分享到:
共1条回复 最后由Q1058204131 回复于2019-08-04 15:58
#2 Q1058204131 回复于2019-08-04

棒棒哒

0