测试之美-客户端安全无懈可击安全测试方法一站式指南.pdf

1、客户端安全无懈可击：安全测试方法一站式指南分享人：曹微个人简介姓名：曹微所在组织：技术中台-质量工程部专业领域：客户端安全测试目录010203安全的重要性程序利用的案例分析客户端安全测试模式04客户端安全测试方法安全事件勒索事件 2017，WannaCrypt（永恒之蓝）勒索蠕虫，150多个国家超过23万台电脑被感染，损失超过百亿美元 2022，英国著名汽车经销商集团Pendragon遭到Lockbit勒索软件的攻击，赎金达6000万美元数据泄露 2017，美国信用评级公司Equifax，1.4亿用户信息被泄露 2018，亚马逊，5万员工信息泄露 2021，Facebook，5亿用户信息泄露国

2、家攻击 2017，乌克兰政府和企业被勒索木马攻击 2020，美国太阳风（SolarWinds）供应链攻击 2022，西北工业大学被美国国家安全局NSA攻击70%软件漏洞网络钓鱼国家政策没有网络安全就没有国家安全中华人民共和国网络安全法信息安全等级保护管理办法计算机信息网络国际联网安全保护管理办法中华人民共和国电子签名法计算机信息系统国际联网保密管理规定涉及国家秘密的计算机信息系统分级保护管理办法互联网信息服务管理办法中华人民共和国计算机信息系统安全保护条例1、中华人民共和国网络安全法2、中华人民共和国保守国家秘密法3、中华人民共和国国家安全法4、中华人民共和国电子签名法5、计算机信息系统国际联

3、网保密管理规定6、涉及国家秘密的计算机信息系统分级保护管理办法7、互联网信息服务管理办法8、非经营性互联网信息服务备案管理办法9、计算机信息网络国际联网安全保护管理办法10、中华人民共和国计算机信息系统安全保护条例11、信息安全等级保护管理办法12、公安机关信息安全等级保护检查工作规范(试行)13、中办、国办转发国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)14、中办、国办关于进一步加强互联网管理工作的意见(中办发200432号)15、中央网信办关于加强党政机关网站安全管理的通知(中网办发文20141号)16、中央网信办关于印发的通知(中网办发文20145号)17、国

4、家发改委5部委关于进一步加强国家电子政务网络建设和应用工作的通知(发改高技20121986号)18、工业和信息化部关于印发的函(工信部协函2013259号)19、广东省信息化促进条例20、广东省计算机信息系统安全保护条例21、广东公安网安部门信息安全检查细则22、省公安厅关于继续深休我省信息安全等级保护工作的通知(粤公通字2011124号)23、关于切实加强我省涉外国家安全和保密工作的意见(粤办发200512号)24、关于进一步加强互联网管理工作的意见(粤办发200525号25、关于加强和改进我省互联网管理工作的意见(粤办发201238号26、关于加强我省工业控制系统信息安全管理的意见(粤信办

5、20123号)27、省保密局、省公安厅、省安全厅、省经济和信息化委员会、省通信管理局联合开展信息安全保密检查工作制度28、通信网络安全防护管理办法(工业和信息部令第11号)29、电信和互联网用户个人信息保护规定(工业和信息部令第24号)客户端安全测试重要性分析网络四要素通信线路和通信设备有独立功能的计算机网络软件支持Windows客户端应用程序网络协议Forrester 2020 年发布的调查报告Forrester Analytics Global Business Technographics Security Survey，2020什么是安全性安全性：产品或系统保护信息和数据，以便人员或其

6、他产品或系统的数据访问适当的程度，他们的类型和级别的授权程度。安全性子特性包括：保密性、完整性、抗抵赖性、可核查性、真实性2、程序利用的案例分析应用程序被利用的过程执行“身份证正面.com”带有白签名 漏洞：缓冲区溢出读取ereg.ini 构造超过缓冲区长度的配置数据，覆盖SHE异常处理链，劫持漏洞程序跳转执行shellcode执行X 保存有shellcode2执行A 利用“腾讯签名”附带远控木马客户资料.rar3、客户端安全测试模式模式转变SDL（安全开发生命周期）devsecops构建保障重点 编码安全、引用安全自动化测试 AST、SCACICD工具链4、客户端安全测试方法安全威胁模型ST