A5--陈伊--面向金融系统的安全渗透测试自动化实践.pdf

1、面向金融系统的安全渗透测试自动化实践陈伊成方金科 测试效能团队负责人陈伊成方金融科技有限公司 测试部 效能团队负责人负责成方金科内部信息化统筹建设及测试工具体系规划和架构设计工作。拥有两项测试工具发明专利，对测试平台、工具、框架的工程建设和测试效能提升方面有丰富的实践经验。目录C O N T E N T S1.背景与挑战2.创新型安全渗透测试自动化3.应用实践效能背景与挑战01背景与挑战背景与挑战创新型安全渗透测试自动化02传统安全渗透测试创新型安全渗透测试自动化化黑盒为白盒测试，降低漏测率创新01化黑盒为白盒测试，降低漏测率化黑盒为白盒测试，降低漏测率转化 接口抓取模式【全】1、直接复用功能

2、接口API定义（研发测试维护）2、接口工具（Swagger、Postman、浏览器抓包）全量导入自动、全量、精准获取安全渗透测试用例接口API透明化 用例模型【白盒】针对性对安全测试中SQL、脚本、REDIS、FTP、摘要、加解密、BASE64编码解码和系统等待的多场景进行用例配置：1、接口中请求头、QUERY参数、REST参数、请求体等丰富参数及个性化配置，以及前后置、校验动作的动态插件2、多类型校验内容及方式，对Http响应码、响应时间、响应大小配置校验规则扩展引用HttpClient框架通过文本编辑方式自定义Http表单请求体（multipart-formdata）及Content-Ty

3、pe，实现任意文件上传攻击自动构造安全渗透用例，提升渗透测试自动化率创新02自动构造安全渗透用例，提升渗透测试自动化率问题：通用payload，较难定制、使用繁琐自动构造安全渗透用例，提升渗透测试自动化率设计思路接口扫描器（内置、自定义）自动构造安全渗透用例，提升渗透测试自动化率SQL注入XSS注入登录爆破文件上传目录遍历未授权访问针对公司内部的自研开发框架，灵活定制组织级漏洞库（业务逻辑漏洞）精准校验测试结果，有效控制问题误报率创新03精准校验测试结果，有效控制问题误报率 精准校验测试结果，有效控制问题误报率可视化渗透测试生命周期，大幅减少问题管理成本创新04可视化渗透测试生命周期，大幅减少

4、问题管理成本 配置智能高效 执行清晰明了 安全测试可追溯 POC验证重复执行问题：无测试用例、代理会话等重复配置、可读性差、仅展示结果无过程可视化渗透测试生命周期，大幅减少问题管理成本1、结合接口、安全渗透自动化测试一体化平台的特点，复用、适配 安全测试用例的可视化需求，一站式展示测试用例、用例执行结果、以及详细测试步骤和测试卡点，研发测试人员可自主解读测试结果，快速定位与修复问题。2、单独/重复/定时执行用例进行问题修复验证，大幅减少安全问题复现和验证中的时间消耗和资源消耗，减少代理配置、会话截取等繁琐步骤解决了传统渗透测试工具的结果可读性差、仅展示漏洞结果不展示攻击过程的痛点。为行业中安全

5、渗透工具提供了新的思路和方向设计思路利于持续集成，打造完整DevSecOps链条创新05利于持续集成，打造完整DevSecOps链条利于持续集成，打造完整DevSecOps链条从代码提交、静态测试、编译构建、部署到动态测试，涵盖功能自动化、性能自动化、安全自动化、流量回放、旁路检测、稳定性测试等结合接口自动化测试平台兼具功能安全一体化测试能力，支持了DevSecOps流水线调度，实现了一点式功能与安全测试的同步自动化执行，解决了渗透测试类工具入链难的问题，减少了流水线多类型工具的维护与执行成本，加快持续测试效率，满足敏捷项目中保质高效的交付要求应用实践效能应用实践效能展望自动化、自助化、智能化发展进一步提升安全渗透测试自动化水平探索AI赋能安全渗透测试技术，自动生成攻击树、制定攻击策略等，进一步简化漏洞检测与安全分析流程感谢聆听关注公众号