RSAC2019创新沙盒大赛公司shiftleft介绍

Stella981
• 阅读 410

RSAC2019创新沙盒大赛公司shiftleft介绍

概念

本身Shift Left这个单词的在测试行业的意思就是将软件测试阶段尽量前置,测试、开发人员使用项目管理、自动化测试工具全量参与到软件开发活动中。ShiftLeft这家公司于17年创建,19年2月份获得B轮2000万美元融资,自称是应用云安全领域的创新者,提出了全自动的安全即服务(SECaas)的解决方案。联合创始人是FireEye的首席产品和战略官。

安全DNA

    是指对每个应用程序每个版本的源代码进行分析并提取安全相关的详细信息,包括漏洞,敏感数据,策略信息和编码错误。采集安全dna的目的是兼顾迭代阶段,方便为agent创建策略,解决通用方案的不足。

产品

  • 针对代码审计和漏洞研究安全人员的Ocular产品:

    该产品的前身是c++类的https://github.com/octopus-platform/joern,一改以往搜索漏洞需要手工查找的局面,创新针对代码属性视图Code Property Graph (CPG)的设计查询语言(Read-Eval-Print-Loop(REPL),支持控制流分析、语法树、调用关系、依赖,目录接口、框架类(内置了自动标记框架的策略)的分析,支持自定义查询语句和集成到CI,输出支持各种报文的结果,支持语言有java、c#和c、c++。曾经发现时linux内核的oday和jackson-databind反序列化漏洞(CVE-2017–7525)。整体类似semmle公司的ql技术。

使用:

  1. 笔者准备了一项spring框架编写的漏洞测试用例,controller分别存在不同的漏洞用来检测误报、漏报。安装后启动分析,将目标代码提取生成CPG信息。可以配置过滤掉公共和开源组件代码。RSAC2019创新沙盒大赛公司shiftleft介绍

  2. 进入到主界面,准备执行查询语言:

    RSAC2019创新沙盒大赛公司shiftleft介绍

  3. load刚才生成的cpg文件。

    RSAC2019创新沙盒大赛公司shiftleft介绍

  4. 使用cpg.dependency.name.l命令查看依赖关系,不同于直接解析pom.xml文件,基于实际代码关系的分析可以发现项目依赖的深层次关系。RSAC2019创新沙盒大赛公司shiftleft介绍

  5. 支持通过./cpg2sp.sh --cpg vlu.bin.zip  -o javavulnerablelab.sp命令通过自建的策略自动查找发现漏洞。

  6. 查询代码里的入参。

    RSAC2019创新沙盒大赛公司shiftleft介绍

  7. 测试下污点分析技术。定义污染源为全部的入参。定义污点为调用url的方法。查看是否可达。

    RSAC2019创新沙盒大赛公司shiftleft介绍

    RSAC2019创新沙盒大赛公司shiftleft介绍

  8. 也可以使用如下命令审计反序列化漏洞。

val sinkMethods = cpg.method.or(

_.fullName(".*(XMLdecoder|ObjectInputStream).*readObject.*"),

_.fullName(".*XStream.*fromXML.*"),

_.fullName(".*readObjectNodData|readResolve|readExternal.*"),

_.fullName(".*ObjectInputStream.*readUnshared.*"))

sinkMethods.calledBy(cpg.method).newCallChain.p

其他的利用请参考https://docs.shiftleft.io/ocular/tutorials/cve-2018-19859

  • 适用于应用分析和运行阶段的ShiftLeft Inspect and Protect产品:

    该产品可以理解为支持Java和C#的弱白盒+强云端Rasp。优点为充分利用了持续集成的能力。

RSAC2019创新沙盒大赛公司shiftleft介绍

可以看到漏洞信息可以在两个时间产出:第一阶段在分析时,上传编译好的代码在云端,分析源代码或者字节码得到CPG,获取初步白盒审计结果、页面路由、代码内敏感信息;第二阶段是通过javaagent的方式启动java应用程序,通过支持原生、微服务、云环境、容器、虚拟机的微代理获取运行时数据和指标推送到代理服务器。通过dashboard进行结果展示、流程闭环。

使用

RSAC2019创新沙盒大赛公司shiftleft介绍

  1. 如上图所示安装好后配置环境变量,使用sl run建立名为HelloShiftLeft的app。工具首次运行下载 ShiftLeft JVM Analyzer Plugin。

  2. 第一阶段为分析编译好的war包。

    通过go程序上传war包。产生中间文件上传、诊断。

    RSAC2019创新沙盒大赛公司shiftleft介绍

  3. 下一步是获取云端代码分析得出的结果,创建了一个名为Run Profile for Runtime(SPR)的自定义工具,并将其加载到与应用程序一起运行的微代理上,以微代理的方式启动。

    RSAC2019创新沙盒大赛公司shiftleft介绍

  4. 看下源代码的启动方式,一目了然的rasp。

    RSAC2019创新沙盒大赛公司shiftleft介绍

  5. 可惜这种方式会对系统性能和兼容性有影响。jenkins挂了(是jdk的原因吗?不过不影响程序获取源码分析、启动阶段的漏洞信息)。

    RSAC2019创新沙盒大赛公司shiftleft介绍

  6. 更换一个较为简单的web程序顺利启动。

  7. 分析完后dashboard可以看到结果信息。简介页面包括提取的应用内部的url包括filter接口的实现类、servlet和RequestMapping。可以看到源代码扫描审计的结果标记区分了code和runtime阶段所发现的。(笔者使用的是最新版的jenkins编译,看到的结果可能都是误报...)。此外还有各种数据方面的认证信息、PII数据、反序列化数据、环境信息、文件读写类、http信息、输入、日志、输出、重定向、session、缓存。

    RSAC2019创新沙盒大赛公司shiftleft介绍

    漏洞简述页包括级别、类型、调用次数、状态。

    RSAC2019创新沙盒大赛公司shiftleft介绍

  8. 详情页显示漏洞描述、代码所在行数、输入数据、运行时调用次数、数据流向调用关系(这里用DOT和graphviz表示更好些)。

    RSAC2019创新沙盒大赛公司shiftleft介绍

    RSAC2019创新沙盒大赛公司shiftleft介绍

综述

这套产品适用于CI / CD流程并经常发布的创新公司。该产品的目标市场包括技术,银行和医疗保健。也适用于将工作上云的传统企业。真正将源代码分析结果和RASP结合起来效果还是不错的,在持续集成阶段就可以发现安全风险。另外在越权类漏洞的检测上其实也是大有用武之地的。

本文分享自微信公众号 - 安全乐观主义(gh_d6239d0bb816)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

点赞
收藏
评论区
推荐文章
秃头王路飞 秃头王路飞
5个月前
webpack5手撸vue2脚手架
webpack5手撸vue相信工作个12年的小伙伴们在面试的时候多多少少怕被问到关于webpack方面的知识,本菜鸟最近闲来无事,就尝试了手撸了下vue2的脚手架,第一次发帖实在是没有经验,望海涵。languageJavaScript"name":"vuecliversion2","version":"1.0.0","desc
浅梦一笑 浅梦一笑
5个月前
初学 Python 需要安装哪些软件?超级实用,小白必看!
编程这个东西是真的奇妙。对于懂得的人来说,会觉得这个工具是多么的好用、有趣,而对于小白来说,就如同大山一样。其实这个都可以理解,大家都是这样过来的。那么接下来就说一下python相关的东西吧,并说一下我对编程的理解。本人也是小白一名,如有不对的地方,还请各位大神指出01名词解释:如果在编程方面接触的比较少,那么对于软件这一块,有几个名词一定要了解,比如开发环
blmius blmius
1年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
光头强的博客 光头强的博客
5个月前
Java面向对象试题
1、请创建一个Animal动物类,要求有方法eat()方法,方法输出一条语句“吃东西”。创建一个接口A,接口里有一个抽象方法fly()。创建一个Bird类继承Animal类并实现接口A里的方法输出一条有语句“鸟儿飞翔”,重写eat()方法输出一条语句“鸟儿吃虫”。在Test类中向上转型创建b对象,调用eat方法。然后向下转型调用eat()方
刚刚好 刚刚好
5个月前
css问题
1、在IOS中图片不显示(给图片加了圆角或者img没有父级)<div<imgsrc""/</divdiv{width:20px;height:20px;borderradius:20px;overflow:h
小森森 小森森
5个月前
校园表白墙微信小程序V1.0 SayLove -基于微信云开发-一键快速搭建,开箱即用
后续会继续更新,敬请期待2.0全新版本欢迎添加左边的微信一起探讨!项目地址:(https://www.aliyun.com/activity/daily/bestoffer?userCodesskuuw5n)\2.Bug修复更新日历2.情侣脸功能大家不要使用了,现在阿里云的接口已经要收费了(土豪请随意),\\和注意
晴空闲云 晴空闲云
5个月前
css中box-sizing解放盒子实际宽高计算
我们知道传统的盒子模型,如果增加内边距padding和边框border,那么会撑大整个盒子,造成盒子的宽度不好计算,在实务中特别不方便。boxsizing可以设置盒模型的方式,可以很好的设置固定宽高的盒模型。盒子宽高计算假如我们设置如下盒子:宽度和高度均为200px,那么这会这个盒子实际的宽高就都是200px。但是当我们设置这个盒子的边框和内间距的时候,那
艾木酱 艾木酱
5个月前
快速入门|使用MemFire Cloud构建React Native应用程序
MemFireCloud是一款提供云数据库,用户可以创建云数据库,并对数据库进行管理,还可以对数据库进行备份操作。它还提供后端即服务,用户可以在1分钟内新建一个应用,使用自动生成的API和SDK,访问云数据库、对象存储、用户认证与授权等功能,可专
密钥管理系统-为你的天翼云资产上把“锁
本文关键词:数据安全,密码机,密钥管理一、你的云上资产真的安全么?1.2021年1月,巴西的一个数据库30TB数据被破坏,泄露的数据包含有1.04亿辆汽车和约4000万家公司的详细信息,受影响的人员数量可能有2.2亿;2.2021年2月,广受欢迎的音频聊天室应用Clubhouse的用户数据被恶意黑客或间谍窃取。据悉,一位身份不明的用户能够将Clubho
NVIDIA安培架构下MIG技术分析
关键词:NVIDIA、MIG、安培一什么是MIG2020年5月,NVIDIA发布了最新的GPU架构:安培,以及基于安培架构的最新的GPU:A100。安培提供了许多新的特性,MIG是其中一项非常重要的新特性。MIG的全名是MultiInstanceGPU。NVIDIA安培架构中的MIG模式可以在A100GPU上并行运行七个作业。多实
helloworld_28799839 helloworld_28799839
5个月前
常用知识整理
Javascript判断对象是否为空jsObject.keys(myObject).length0经常使用的三元运算我们经常遇到处理表格列状态字段如status的时候可以用到vue