恒天软件公司安全项目组成立于2013年,核心创始人是浙江大学蔡亮和李善平老师。项目组依托浙大优秀的人才资源,核心成员由浙大计算机学院研究生以及网新恒天中高级软件工程师组成。自成立以来项目实践丰富,涉及的领域包括电子商务(中国烟草),互联网金融(昆明小微),在线教育(通关教育),数据挖掘(摘客)等。主要提供的服务包括Web安全测试、系统安全审计、安全咨询和安全保障体系设计等服务。
一、Web安全测试服务
服务内容:安全组依据四个权威的安全审计方案,即:安全测试方法论(OSSTMM),信息系统安全评估框架(ISSAF),开放式Web应用程序安全项目(OWASP),Web应用安全联合威胁分类(WASC-TC),同时结合被测系统实际情况,制定出了有针对性的,覆盖面广的审计方案。
方案A:适用于系统安全性要求较高的项目,该方案会从各个角度全面测试检验系统安全性,并进行漏洞分析、风险评估以及加固建议。
方案B:适用于系统安全级别要求不高且亟待上线的项目,是一套精简的安全审计方案。该方案是根据以往项目的薄弱点并参照OWASP top10整合而成,重点突出而又较为全面。
案例:
(1)昆明小微金融案例
昆明小微企业金融交易平台是全国首家由政府金融主管部门监管的普惠金融交易场所。该项目对安全性要求比较高,项目持续时间比较长,安全项目组按照方案A对其进行了安全审计工作。主要发现的漏洞概括如下:
二、系统安全审计服务
服务内容:针对公司系统的所有对外出入口进行渗透测试,目的在于通过对系统整个环境实际的渗透注入,找出其中存在的薄弱点,从而提高公司系统环境的安全性。
特色:依托浙大的优势前沿研究资源,人员大多数为浙大计算机学院研究生,专业知识扎实。针对公司实际情况制定相应的解决方案。
案例:恒天软件公司渗透测试案例
项目组针对恒天软件公司的特点制定了相应的渗透测试方案。总共分为七个阶段:事前互动、情报收集、威胁建模、漏洞分析、漏洞利用、深度利用和书面报告。将这七个阶段划分为十个主要的方面:范围定界、信息收集、目标识别、服务枚举、漏洞映射、社会工程学、漏洞利用、提升权限、访问维护和文档报告。
针对不同的方面安全项目组采取不同的应对策略。主要从两个方面保障渗透测试高效进行:
1. 人员的配置。项目组根据个人专注的方向不同,灵活的搭配渗透测试人员,保障测试范围足够广;
2. 工具的使用。渗透测试工具琳琅满目,项目组为此针对每个方面挑选出适合的工具,保障了效率。
三、安全咨询服务
服务内容:由于有很多项目实践,恒天安全组在解决各类安全问题有着丰富的经验。能够对突发性的事故做出及时的响应,可以提供各种类型的安全咨询,对各类安全问题提出切实可行的解决方法。
案例:
某医疗挂号系统遭运营商劫案例
项目组根据事件情况迅速提出有针对性的四种解决方案并给出相应的案例。这四种方案首先推荐的方法使用加密传输的HTTPS协议,其次是进行白名单过滤(豆瓣),再其次是进行JavaScript方法重载(以前360导航首页),最后是进行报文的拆分。
某上市企业官网被攻击案例
项目组首先对受攻击系统进行备份,然后通过对攻击日志的分析,发现黑客攻击的方式很有可能是暴力破解。随即对该网站进行验证。最终证实网站是可以被暴力破解的。提出了以下解决方案:
1. 修改管理员默认路径,管理员密码必须达到8位,并且包括数字,特殊字符和大小写字母;
2. 增加验证码和锁定用户的机制,防止攻击者无限次尝试;
3. 对登录错误进行科学的提示,不能让攻击者区分用户是否存在。
后期安全组进行了跟进,对修复后的系统进行了为期一个月的安全审计。
四、安全保障体系设计服务
服务内容:针对整个系统开发周期进行安全保障体系的设计,包括:物理安全建设方案、网络安全建设方案、计算机安全与存储安全设计方案、应用安全设计方案以及信息安全设计方案。
案例:浙江省工商信息化建设技术投标方案。(具体内容因信息保密不能提供)