Daily Plan
更新: 5/3/2025 字数: 0 字 时长: 0 分钟
#todo
- [ ]
- [ ]
Daily Study-虹信项目结项
更新: 5/3/2025 字数: 0 字 时长: 0 分钟
项目目标与预期成果
2.web应用动态安全测试工具 需求:针对虹服所有在研web应用软件系统,构建动态应用安全测试系统,形成上线前安全门限。通过web应用动态安全测试系统,在测试或运行阶段分析应用层序的运行状态,模拟黑客行为对应用进行动态攻击,通过web应用的返回结果,确定web应用是否存在安全漏洞。从攻击者视角来发现大多数高风险问题,支持当前的各类,保证其安全性,避免已知常见的漏洞。 成果指标: (1)威胁建模。梳理虹服现有web靶标应用使用的技术栈,包括语言、服务器、技术框架和编程语言等,并进行威胁建模,识别脆弱点,形成威胁建模报告; (2)web应用动态安全测试工具。交付达到主流安全测试水平的web应用动态安全测试工具,要求:支持虹服编程语言开发的web应用、第三方组件和框架; (3)应急响应。协助虹服处理信息系统突发的安全问题; (4)联合申请软件著作权1项,申请发明专利1项;
流程规范类
- 虹服Web应用动态安全测试工具调研与需求分析:在对DAST动态安全测试的调研和虹服所有在研Web应用软件的威胁建模的基础上,制定适用于虹服的Web应用动态安全测试工具的整体规划,形成上线前安全门限。输出威胁建模报告一份,Web应用动态安全测试工具需求分析文档一份。
- 虹服Web应用动态安全测试工具开发流程:制定适用于虹服的Web应用动态安全测试工具开发流程,并在虹服现有开发流程的基础上制定细化流程,以推动流程落地。输出Web应用动态安全测试工具概要设计文档一份,Web应用动态安全测试工具详细设计文档一份。
- 软著和专利申请:针对虹服Web应用动态安全测试工具,联合申请软件著作权1项,申请发明专利1项。
工具引入类
引入一个Web应用动态安全测试工具,并在虹服成功落地。工具通过web应用动态安全测试系统,在测试或运行阶段分析应用层序的运行状态,模拟黑客行为对应用进行动态攻击,通过web应用的返回结果,确定web应用是否存在安全漏洞。通过web应用的返回结果,确定web应用是否存在安全漏洞。从攻击者视角来发现大多数高风险问题,支持当前的各类,保证其安全性,避免已知常见的漏洞。输出包括Web应用动态安全测试工具本身,Web应用动态安全测试工具操作手册一份,部署文档一份,漏洞测试报告一份,及其他工具部署的必要文档。
里程碑1
DAST是一种黑盒测试技术,是目前应用最广泛、使用最简单的一种Web应用安全测试方法。在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击,分析应用程序的反应,从而确定该Web应用是否易受攻击
DAST一般优势:
①攻击者视角,可发现大多数高风险问题
②无需源代码,测试对象范围较广
③支持当前的各类主流编程语言开发的应用、第三方组件、第三方框架
里程碑2
Daily Problem
更新: 5/3/2025 字数: 0 字 时长: 0 分钟