harkarvog-sec/enterprise-appsec-playbook
GitHub: harkarvog-sec/enterprise-appsec-playbook
一本以攻击者视角驱动的企业级应用安全手册,覆盖完整SDLC安全评估方法论并附带漏洞管理自动化脚本。
Stars: 2 | Forks: 2
# 企业应用安全手册
# 作者:Mishack Victor Chinaza
# 角色:应用安全工程师 | 渗透测试工程师
## 概述
本仓库是一本以手工测试为主、攻击者视角驱动的企业应用安全手册,并在适当之处辅以自动化手段。它记录了我如何在现代应用环境中评估、验证和展示真实的安全风险。
本手册反映了生产环境中应用安全的实际操作方式:重点关注逻辑缺陷、信任边界、状态滥用和配置错误,而不是仅仅依赖自动化工具。
此处记录的所有技术均在经过授权的测试环境中执行。
## 如何阅读本手册
本仓库不 intended 不适合按顺序线性阅读。
每个模块都可以根据感兴趣的安全领域(例如:身份验证、API 安全、CI/CD)独立阅读。
招聘经理可能会发现以下模块最能代表我的测试方法:
- 04-authentication-testing
- 06-access-control
- 09-api-security
- 10-business-logic
- 13-ci-cd-security
- 20-reporting-automation
## 目标
- 提供实用、贴近真实世界的应用安全参考
- 展示企业级 AppSec 和安全工程工作流
- 通过清晰的 Proof of Impact (POI) 验证漏洞
- 支持修复、复测和安全设计决策
- 实现安全自动化、报告生成和合规性映射
## 范围与覆盖
本手册涵盖了整个 SDLC 中的应用安全,包括:
- 安全架构与设计审查
- 资产清点与攻击面映射
- 网络暴露与入口点分析
- 身份验证与会话管理
- 访问控制与授权
- 输入验证与注入风险
- 文件处理与上传逻辑
- API 安全
- 业务逻辑与工作流滥用
- 密码学与机密信息处理
- 依赖项与供应链安全
- CI/CD 流水线安全
- 云安全(AWS / Azure)
- 运行时监控与检测
- 事件响应与分诊
- 修复验证
- 合规性映射
- 安全报告与自动化
## 仓库结构
每个模块均遵循一致的企业级结构:
XX-module-name/
├── README.md # 范围、目标和安全背景
├── testing-methodology.md # 循序渐进的攻击者驱动方法
├── attack-scenarios.md # 真实的漏洞利用场景
├── checklist.md # 实用验证清单
└── remediation.md # 防御指导与修复方案
## 模块
00-architecture-review
01-asset-inventory
02-network-exposure
03-attack-surface-mapping
04-authentication-testing
05-session-management
06-access-control
07-input-validation
08-file-handling
09-api-security
10-business-logic
11-cryptography-review
12-dependency-security
13-ci-cd-security
14-cloud-security
15-runtime-monitoring
16-incident-response
17-bugbounty-triage
18-remediation-testing
19-compliance-mapping
20-reporting-automation
## 如何使用本仓库
- 将其作为构建或扩展 AppSec 计划的参考手册
- 根据您组织的成熟度独立应用各个部分
- 根据您的工具调整工作流(例如:Jira、ServiceNow、Rapid7、Snyk、HackerOne)
- 使用它来跨团队标准化 AppSec 流程
## 关键自动化脚本
本手册包含实用的自动化脚本,以支持企业级的漏洞管理和报告生成:
| 脚本 | 描述 | 关键特性 |
|----------------|-------------------|----------------------------------------------------|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| jira_sync.py | 自动为发现的漏洞创建 Jira 工单 | 获取漏洞数据(可用于演示或集成 Rapid7/Snyk)
- 创建包含严重程度、影响和修复指导的工单
- 可通过环境变量进行配置 | | rapid7_fetch.py | 从 Rapid7 获取漏洞扫描结果 | 通过 API 提取资产和漏洞数据
- 输出结构化的 JSON/CSV,用于报告或工单流水线 | | vuln_report.py | 生成自动化漏洞报告 | 跨工具整合漏洞
- 为团队和管理层生成企业级报告
- 支持导出 CSV、JSON 或 PDF 以用于仪表盘 | 这些脚本展示了我将 AppSec 工具集成到企业工作流中的能力,旨在减少手动操作、提高分诊速度并实现基于风险的报告。 ## 方法论理念 - 以手工测试优先,攻击者视角驱动 - 重点关注逻辑、状态和信任边界 - 发现结果均通过漏洞利用证据进行验证 - 将风险映射到业务和运营影响 - 修复方案与安全工程实践保持一致 本手册代表了在真实企业环境中执行安全评估的方式,而不仅仅停留在理论实验室层面。 ## 设计理念 - 企业级就绪:专注于真实的运营约束 - 工具无关:概念适用于任何供应商 - 基于风险:优先级排序高于噪音过滤 - 自动化友好:旨在跟上工程开发速度实现规模化扩展 ## 免责声明 本项目仅限于教育目的和经过授权的安全测试。 对您不拥有或未获授权测试的系统进行未经授权的测试是非法且不道德的。 ## 联系方式 - GitHub: https://github.com/harkarvog-sec - Portfolio: https://harkarvogsecurity.com - LinkedIn: https://linkedin.com/in/mishack-victor-728783358 - Email: mishackvictor4@gmail.com
- 创建包含严重程度、影响和修复指导的工单
- 可通过环境变量进行配置 | | rapid7_fetch.py | 从 Rapid7 获取漏洞扫描结果 | 通过 API 提取资产和漏洞数据
- 输出结构化的 JSON/CSV,用于报告或工单流水线 | | vuln_report.py | 生成自动化漏洞报告 | 跨工具整合漏洞
- 为团队和管理层生成企业级报告
- 支持导出 CSV、JSON 或 PDF 以用于仪表盘 | 这些脚本展示了我将 AppSec 工具集成到企业工作流中的能力,旨在减少手动操作、提高分诊速度并实现基于风险的报告。 ## 方法论理念 - 以手工测试优先,攻击者视角驱动 - 重点关注逻辑、状态和信任边界 - 发现结果均通过漏洞利用证据进行验证 - 将风险映射到业务和运营影响 - 修复方案与安全工程实践保持一致 本手册代表了在真实企业环境中执行安全评估的方式,而不仅仅停留在理论实验室层面。 ## 设计理念 - 企业级就绪:专注于真实的运营约束 - 工具无关:概念适用于任何供应商 - 基于风险:优先级排序高于噪音过滤 - 自动化友好:旨在跟上工程开发速度实现规模化扩展 ## 免责声明 本项目仅限于教育目的和经过授权的安全测试。 对您不拥有或未获授权测试的系统进行未经授权的测试是非法且不道德的。 ## 联系方式 - GitHub: https://github.com/harkarvog-sec - Portfolio: https://harkarvogsecurity.com - LinkedIn: https://linkedin.com/in/mishack-victor-728783358 - Email: mishackvictor4@gmail.com
标签:API安全, AppSec, CI/CD安全, CISA项目, GPT, IP 地址批量处理, JSON输出, Llama, Modbus, SDLC安全, Streamlit, Web报告查看器, 业务逻辑漏洞, 企业应用安全, 合规映射, 安全工程师, 安全手册, 安全报告, 安全架构审查, 安全生命周期, 密码学, 手动系统调用, 攻击面分析, 数据展示, 文档安全, 漏洞利用检测, 漏洞管理, 红队, 网络安全, 访问控制, 身份验证测试, 逆向工具, 隐私保护