AirJD 焦点
AirJD

没有录音文件
00:00/00:00
加收藏

内建安全的软件开发 by 刘庆华@ThoughtWorks

发布者 security
发布于 1462239033523  浏览 5132 关键词 网络安全 
分享到

第1页

Build Security In



第2页

▫▫▫▫▫▫︎︎︎︎︎︎



第3页

3



第4页

4



第5页

3,930 ▫7︎ 36,000,000

▫︎ ▫︎ ▫︎





第6页

~ 80%

World Quality Report 2015/16



第7页

WAF





第8页

SQL



19% 16%



11%



7%



4.4%



3.7%



2.8%



3.2%



2008 2009 2010 2011 2012 2013 2014 2015



1092 948 515 289 236 145 296 212



19.39% 16.54% 11.10% 6.96% 4.46% 2.80% 3.73% 3.27%



NVD





第9页

XSS



2008 2009 2010 2011 2012 2013 2014 2015



790 821 594 454 721 616 1028 725



14.03% 14.32% 12.80% 10.94% 13.63% 11.88% 12.95% 11.17%



NVD



XSS



第10页

10



第11页

▫︎ ▫︎ ▫︎ ▫︎



第12页

12



第13页

WAF



WAF

/ WAF



or





第14页

WAF

WAF

▫︎ ▫︎





第15页

15



第16页

1000





第17页

▫▫▫︎︎︎ WAF





第18页

18



第19页

19



第20页

TDD/BDD/DDD



▫︎ : ▫︎ : ▫︎ : ▫︎



:





第21页

▫︎ : ▫︎ : ▫︎ : ▫︎



:





第22页

22



第23页

▫︎ : ▫︎ ▫︎ ▫︎



Automation enables development team do more with less





第24页

24



第25页

&



第26页

Build Security In



第27页

27



第28页

28



第29页

▫︎

▫︎ ▫︎

//





第30页

不付费购物



偷取登录身份



违反业务逻辑



修改数据库中订单信



诱骗消费者



通过网络通信



特殊价格



无效商品数量



社交工程



跨站脚本



跨站请求伪造





第31页

▫︎

SSL /

▫︎

▫︎ XSS ▫︎ ……



/ …

/ AngularJS



/



/





第32页

CI

Given an anonymous visitor When I try to access report page without authentication Then I was been redirected to login page

Given a user without report access permission When I try to access report page with authentication Then I was been redirected to error page

Given a system manager When I try to access report page with authentication Then I can access report page successfully





第33页

CI



第34页

CI



Build



Functional



Security



Deploy





第35页

STORY

▫︎



OWASP ZAP



Burp Suite



SQLMap



第36页

▫︎ ▫︎ (Build Security In)

AUTO MATE



第37页

THANK YOU



第38页

Q&A





支持文件格式:*.pdf
上传最后阶段需要进行在线转换,可能需要1~2分钟,请耐心等待。