背景

DevSecOps作为安全领域中逐渐火热的技术体系,本质上是安全开发生命周期(SDL)安全关口左移理念和DevOps的结合。近年 RSA大会上出现过一个热词” Golden Pipeline(黄金管道)”, 特指一套通过稳定的、可预期的、安全的方式自动化地进行应用持续集成/部署的软件流水线(toolchain),其为DevSecOps提供了一种便于理解和落地的实现方式。中通安全团队在实践DevSecOps过程中不断探索,下图为中通安全团队理解的Golden Pipeline(黄金管道)。

图1.DevSecOps中的 Golden Pipeline(黄金管道)

Hunter作为中通DevSecOps中重要的一员,扮演着至关重要的角色。从中通分布式被动安全扫描实践发表距今的一段时间,Hunter在中通内部经过不断的实践和打磨,已经比较成熟。期间主要优化分布式插件管理、分布式任务调度、客户端用户体验,新增多种接入方式接口,开放api接口等。中通安全团队在安全体系建设过程中,自身也受益于各种开源项目。本着拥抱开源、反哺开源的精神,中通信息安全团队选择了将Hunter核心功能开源。开源的目的旨在提高甲方企业安全检测效率,帮助甲方公司摆脱安全测试人员匮乏的窘状。希望能够为更多企业提供一种开放的安全建设解决方案,为信息安全行业尽一点绵薄之力。

项目结构

整个开源结构主要分为HunterClient、HunterAdminApi、HunterAdminGui、HunterSense、HunterCelery、SqlmapCelery、XsseyeCelery七个模块,各个模块做到解耦互不干扰,以下按模块分别讲解其具体作用。

图2.Hunter对接自动发布平台流程

HunterClient

载体为浏览器插件,HunterClient的主要核心功能为用户授权、抓取网络请求接口、将发送接口发送到检测引擎、交互通知。

HunterAdminApi

Hunter平台后端api,使用flask框架开发,主要有管理扫描任务、数据统计、通知告警、登录授权、扫描插件管理等功能。除此之外,HunterAdminApi中附带一个网络代理功能,支持常见被动扫描器中的网络代理功能。

HunterAdminGui

Hunter平台管理页面,使用Ant Design前端框架开发,作为HunterAdminApi的展示前台,管理者和普通用户可以在此平台创建任务,查看漏洞,选择推送插件等操作。

HunterSense

集成了Dns查询日志和Socket查询日志的功能,通过此平台可以捕获一些无回显的漏洞。Hunter除了支持默认的HunterSense之外,还支持其他回显平台比如DnsLog,Ceye等。

HunterCelery

Hunter平台中的POC扫描插件调度模块,使用python异步调用框架Celery开发。HunterClient将抓取到的网络请求接口放入到消息队列,HunterCelery则对消费到的网络请求接口进行安全检测。可以根据实际情况,拓展消费机器数量达到提高检测速度的目的。

SqlmapCelery

Hunter平台的SQL注入检测模块,主要是将sqlmap和celery两者相结合。考虑到SQL注入漏洞检测相较于POC漏洞检测需要更长时间,故在设计时将SQL注入检测和POC插件检测分别放入单独队列的方式,SqlmapCelery只消费sqlmap队列,如果想提高SQL注入检测速度可以增加celery进程数或者增加消费机器。

XsseyeCelery

使用celery调度Xsseye的方式,和sqlmapCelery类似,不同点之处是只检测xss漏洞。其中Xsseye采用chrome headless加python3开发而成,Xsseye也可以单独提取出来作为xss漏洞检测工具。

部署使用

开源项目中提供了docker和非docker的部署两种教程,关于Hunter部署、使用、二次开发详情可见:http://www.github.com/ztosec/hunter

实践建议

Hunter主要用户是甲方企业。在部署应用过程中,由于SqlmapCelery和XsseyeCelery在测试过程中不可避免会产生大量脏数据,只推荐在测试环境使用。Hunter目前部署在中通内部和中通子公司。在中通内部,Hunter已接入自动发布平台。在中通子公司,Hunter则作为安全检测工具提供给QA人员使用。

在中通内部,Hunter主要作用于DevOps的测试阶段,帮助QA人员在做功能测试的同时进行自动化安全测试。通过嵌入到自动发布平台,Hunter可以极大提高安全测试的覆盖率。下图为Hunter对接自动发布平台的流程(已省略无关步骤):

图3.Hunter对接自动发布平台流程

检测完成之后,Hunter会将检测结果发送到同安漏洞管理平台(整个漏洞的生命周期管理可以在同安系统上完成,如果想了解更多,可以见中通同安漏洞管理系统)。

在中通子公司内部,应开发和测试同事要求单独部署一套Hunter运行环境。Hunter整个运营流程包含培训、使用、漏洞录入、漏洞修复、使用反馈等。

图4.Hunter在中通子公司运营推广流程

未来展望

在DevSecOps这一领域,中通安全团队希望落地如下一套闭环方案。

图5:中通安全正在实践的DevSecOps闭环方案

Hunter作为中通DevSecOps闭环方案中的一环,扮演着很重要的角色,开源之后希望能帮助到更多企业。在DevSecOps这一领域,中通安全团队也在不断地实践和探索业界前沿方向,例如SAST、IAST、DAST、RASP等解决方案也在学习业界的一些优秀开源产品和解决方案。未来,这些产品经过中通安全团队实践、打磨、改进之后也会选择逐步开源,回报开源社区。

项目预览

图6.一次任务扫描结果

图7.Hunter个人用户统计报表

图8.插件分布式管理

图9.客户端下载

参与贡献

作为Hunter项目开源的发起者,我们衷心地希望能够帮助到一些企业提高自身安全性,同时也热忱地欢迎大家一起参与Hunter项目的建设。

代码贡献

任何代码贡献都应该遵循贡献流程。我们会评估贡献者提交的关于特性开发,测试用例开发和Bug Fix的Pull Request。

Issue提交

我们将考虑提交的Issue的严重性、复现步骤和数据的充分性。

项目推广

任何关于Hunter的博客、微信、Twitter、文章、白皮书等,我们会考虑它们的内容和受欢迎程度,为让Hunter能够有更好的传播,希望有志之士一起参与协助本地翻译,从而使我们的开源成果惠及全球。

参考资料:

http://blog.nsfocus.net/rsa2018-devsecops-golden-pipeline/

作者简介

陈明,中通快递安全工程师,目前负责中通DevSecOps的开发建设工作。个人研究方向包括渗透测试、漏洞挖掘,安全开发工作,关于信息安全方面的话题欢迎添加微信(bsmali4)相互交流。

声明:本文来自中通安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。