一、流程设计
需求阶段:
威胁建模:在需求分析阶段,从安全的角度,对威胁建模并加以描述。
开发测试阶段:
安全编码培训==>白盒扫描==>黑盒扫描==>产品发布
开发过程:概设&详设阶段需要考虑Environmental Safety(环境安全)
编码阶段需要按照安全编码规范
产品运营阶段:
安全响应:
被动:安全事件响应
主动:不影响业务的前提下的渗透测试、测试环境下的fuzzing
二、策略及适用工具
自动化:
白盒:
静态扫描为主;
黑盒:
url镜像+漏洞扫描
例子:用工具(比如wapiti等)扫描,分析并利用(贴出来的url都是以前的,现在已经修复了。这里作为学习的例子,没有不良意图)。
HTTP会话录制回放(基于业务的)
在乌云上可以找到大量的通过业务录制回放方法找到的缺陷
例子:http://www.wooyun.org/bugs/wooyun-2015-0106600
手工:
日常渗透
三、总结
可借鉴微软SDL