安全软件开发
文章平均质量分 67
chengyun_chu
大家好!我目前在微软可信赖计算部门TWC担任资深软件安全工程师。TWC是专门负责微软产品安全的核心部门,包括软件安全漏洞的分析,软件安全开发评估等等。
展开
-
谷歌拼音输入法的安全漏洞
谷歌拼音输入法是一个非常不错的输入法。事实上,我在写这篇blog的时候,就用的是刚下载的谷歌拼音输入法。 但是,需要注意的是,谷歌拼音输入法的第一个版本(1.0.15.0)的Windows Vista实现中,存在着一个比较严重的安全漏洞。这个漏洞已经在谷歌拼音输入法的最新版本(1.0.16.0)中修复了。你可以从http://tools.google.com/pinyin/index.ht原创 2007-04-07 15:26:00 · 7915 阅读 · 11 评论 -
安全编码实践二:NXCOMPAT选项和数据执行保护DEP
《程序员》3月文章申明。文章仅代表个人观点,与所在公司无任何联系。 概述 在安全编码实践一中我们谈到GS编译选项和缓存溢出。缓存溢出的直接后果就是可能导致恶意代码的远程执行。GS选项存在自身的局限,例如,有若干方法可以绕过GS选项的保护。 在这篇文章里,我们会介绍另外一个非常重要的安全特性:数据执行保护,即DEP-Data Execution Prevent原创 2008-04-26 04:50:00 · 5700 阅读 · 3 评论 -
安全编码实践三:C/C++静态代码分析工具Prefast
《程序员》5月文章。申明。文章仅代表个人观点,与所在公司无任何联系。 概述 在前面的安全编码实践的文章里,我们讨论了GS编译选项和数据执行保护DEP功能。 结论是GS和DEP可以有效的缓解缓存溢出类型的安全漏洞的危害。关于这个结论,有两个大家需要值得注意的地方。 第一:GS和DEP是缓解(mitigation)措施。也就是说,代码本身仍然存在着安全漏洞,只是由于GS和原创 2008-08-05 07:23:00 · 21826 阅读 · 0 评论 -
Web安全开发:SQL注入攻击和网页挂马
申明。文章仅代表个人观点,与所在公司无任何联系。 1. 概述网页挂马这个话题想来大家并不陌生。为什么有这么多的网页上存在着木马去攻击普通用户?不可否认,相当一部分网页原本就是恶意的:网页的作者故意在上面放上木马,然后通过各种手段引诱用户去浏览。但是绝大多数被挂马的网页原本是正常的网页,例如普通的教育网站,购物网站等等,只是网页被攻击者恶意修改后插入了木马代码。那么,攻原创 2008-09-13 07:21:00 · 16406 阅读 · 6 评论 -
阻止网页挂马的若干工具
上个blog中提到国内网站被挂马的常见原因是SQL注入攻击。那么,除了在Web开发的时候注意以外,有什么有效的工具可以对抗SQL注入攻击?今天,微软和惠普的安全部门合作发布了三个工具,分别是:微软SQL注入攻击源码扫描器:Microsoft Source Code Analyzer for SQL Injection (MSCASI)。这个工具给网站开发人员使用。是一个静态扫描ASP代原创 2008-06-25 07:12:00 · 7465 阅读 · 7 评论 -
微软关于推广安全软件开发周期SDL的最新消息
11月份预计会有两个工具可以给大家免费下载: SDL Threat Modeling Tool 3.0 这个是用来构造风险模型(threat modeling)。风险模型是SDL的一个重要组成部分,这个工具在微软内部已经使用了很有一段时间啊了。 Optimization Model 这个是用来辅助团队如何更高效的实施SDL。 更详细信息参见http://msd原创 2008-09-18 07:49:00 · 15291 阅读 · 0 评论 -
如何评测软件系统的安全性
常常被问到这么一个问题:如何评测一个软件系统到底有多安全? 一个回答是:我们不是有专门的软件安全评测标准和机构吗?没错,我们有专门的国际标准Common Criteria, ISO/IEC 15408,国家标准GB 18336。有专门的评测中心,如Common Criteria Lab,和中国信息安全产品测评认证中心。 似乎我们只要按照标准提供相应文档,把软件交给评测机构,不就行了原创 2008-07-04 07:58:00 · 10526 阅读 · 2 评论 -
安全编码实践四:C/C++中禁用危险API
《程序员》9月文章 申明。文章仅代表个人观点,与所在公司无任何联系。概述 在前面的安全编码实践的文章里,我们讨论了GS编译选项,数据执行保护DEP功能,以及静态代码分析工具Prefast。这里,我们讨论在C/C++代码中禁用危险的API,其主要目的是为了减少代码中引入安全漏洞的可能性。那些是危险的API 2.1历史 在微软产品的安全漏洞中,有很大原创 2008-10-23 06:47:00 · 20755 阅读 · 14 评论 -
IE 8 RC 发布 附:IE 8 安全特性一文
IE8的最新测试版本:RC1 (Release Candidate 1)刚刚发布了。有兴趣的可以从以下URL下载: http://www.microsoft.com/windows/Internet-explorer/beta/ 附上IE 8 安全特性一文 杂志2008年10月 IE 8 安全特性褚诚云安全软件工程师Secure Windows Init原创 2009-01-29 06:30:00 · 16858 阅读 · 0 评论 -
安全:操作系统和浏览器的关系
今天看来Ryan对Charlie Miller的采访。这位老兄刚刚在CanSecWest上的黑客大赛上攻陷了Safari浏览器。 采访的全文可以参见: http://blogs.zdnet.com/security/?p=2941 采访中最有意思的一个话题是: Why Safari? Why didn’t you go after IE or Safar原创 2009-03-21 05:07:00 · 14497 阅读 · 0 评论 -
跨站脚本XSS
《程序员》文章。申明。文章仅代表个人观点,与所在公司无任何联系。 1.概述 跨站脚本Cross-Site Scripting(XSS)是最为流行的Web安全漏洞之一。据统计,2007年,跨站脚本类的安全漏洞的数目已经远远超出传统类型的安全漏洞【1】。那么,什么是跨站脚本?它的危害性是什么?Web开发人员如何在开发过程中避免这类的安全漏洞?就是我们这篇文章要讨论的内容原创 2009-06-25 01:20:00 · 15485 阅读 · 0 评论 -
Windows 7安全和网页挂马
这几年来,国内网页挂马的现象是越来越严重。不管是白道黑道,或攻或防,都围绕着这个问题做文章。我们看到,有利用IE安全漏洞的0day,如去年的XML。或ActiveX控件的0day,如前一阵子的OWC安全漏洞。这一个过程中,安全厂商或是推出自己的IE的Plug-in监测,或是URL拦阻,或是在反病毒上做文章等等。 我对于如反病毒之类的响应类型软件的效果,一直是有保留态度。有兴趣的同时可以参见原创 2009-09-17 08:29:00 · 15620 阅读 · 7 评论 -
安全编码实践之五地址空间格局随机化ASLR
1. 概述在前面安全编码实践中我们介绍过GS编译选项和缓存溢出,以及数据保护DEP。首先,缓存溢出的直接后果就是可能导致恶意代码的远程执行,于是编译器提供了GS保护。但是,GS选项有自身的局限,存在若干方法可以绕过GS选项的保护。于是进一步,操作系统提供了数据执行保护,即DEP,以及与之对应的NXCOMPAT编译选项。那么是不是现在我们就可以高枕无忧了?在安全领域中,系统的攻原创 2009-10-09 06:44:00 · 16139 阅读 · 5 评论 -
安全:20年最大的技术失败?
Infoworld上评出20年来25个最大的技术失败。原文可见: http://www.infoworld.com/article/08/01/21/03FE-25-tech-failures_1.html 其中,排名第一位的是安全? “Computers influence every aspect of our business lives. We trust them原创 2008-01-23 14:04:00 · 1916 阅读 · 0 评论 -
安全编码实践一:GS编译选项和缓存溢出
11期文章申明。文章仅代表个人观点,与所在公司无任何联系。 1. 概述函数堆栈缓存溢出,是操作系统和应用程序安全漏洞最常见,最严重的类型之一。它往往导致可以允许攻击者可以远程执行恶意代码。例如,以下这段代码[2,p147]就展示了Windows系统RPC调用中的函数堆栈缓存溢出类型的安全漏洞。它就是导致冲击波病毒(Blaster)爆发的根源。 HRESULT GetMachin原创 2007-12-16 16:57:00 · 5855 阅读 · 0 评论 -
微软DNS远程过程调用安全漏洞
这是微软4月12日最新公布的安全漏洞。DNS(domain name system)是用来解析域名服务程序。这个安全漏洞可以导致恶意代码被远程执行,是最为严重的级别。 微软操作系统的服务器版本,包括,Windows Server 2000, Windows Server 2003,都受影响。客户端版本,Windows 2000 Profession, Windows XP SP2, Win原创 2007-04-20 04:19:00 · 1633 阅读 · 0 评论 -
ARP 缓存污染和IFRAME嵌入攻击
最近收到了一位IT行业朋友的来信,说他遇到了这么一个现象,百思不得其解。 我昨天遇到了一个非常郁闷的问题,我们公司有一个部门的PC只要打开IE赛门铁克就会就会提示我中毒,下面是中毒的日志:Scan type: Auto-Protect ScanEvent: Security Risk Found!Threat: Trojan.Exploit.131File: C:/原创 2007-07-27 08:12:00 · 6923 阅读 · 2 评论 -
Windows Vista操作系统最新安全特性分析:改进和局限 (上)
Windows Vista操作系统最新安全特性分析:改进和局限 (上)没有十全十美的安全系统。——安全领域第一定律 申明。文章仅代表个人观点,与所在公司无任何联系。 1. 概述微软最新发行的Windows Vista操作系统,特别强调了对安全特性的支持。可以毫不夸张地说,安全特性的提高是Windows Vista操作系统同以往发布的Windows操作系统原创 2007-04-25 01:41:00 · 5453 阅读 · 1 评论 -
软件安全开发周期 - SDL
申明。文章仅代表个人观点,与所在公司无任何联系。 1. 概述安全开发周期,即Security Development Lifecycle (SDL),是微软提出的从安全角度指导软件开发过程的管理模式。SDL不是一个空想的理论模型。它是微软为了面对现实世界中安全挑战,在实践中的一步步发展起来的软件开发模式。 那么,SDL到底是什么,它是如何和传统的软件开发模式结合?原创 2007-05-08 15:12:00 · 8697 阅读 · 0 评论 -
续:Windows Vista操作系统最新安全特性分析:改进和局限 (下)
4. 权限保护 4.1用户帐号控制(User Account Control) 背景。在以往的Windows系统上,绝大多数用户都是以管理员(Admin)权限登录。这是因为太多的操作,如应用程序的安装和运行,操作系统配置的修改等等,都需要管理员权限。 那么,导致的后果就是,计算机病毒和间谍软件一旦感染系统,也就同时拥有了管理员权限,可以随心所欲地做各种事情,如篡改防原创 2007-04-29 14:05:00 · 7578 阅读 · 2 评论 -
从虎胆龙威4(live free or die hard)说黑客攻击
前两天看了大片,虎胆龙威4(live free or die hard),从头到尾效果确实火爆。从电影院里出来,脑子里还是一片爆炸声。至于剧情嘛,喂,谁看die hard是奔着剧情去的? 说起来,这集die hard和我的本行还着实有点关系,说的是黑客攻击的事。里面的黑客手段,当然是夸张加变态了。这里随便说两个。 情节一:远程上载一个病毒,然后导致电脑爆炸!远程上载一个病毒,倒不新原创 2007-08-08 06:39:00 · 4682 阅读 · 10 评论 -
安全是谁的责任?应用程序还是操作系统? 再谈Google输入法的安全漏洞
前一阵子Google输入法在Windows Vista的安全漏洞闹得沸沸扬扬。从CSDN,或是从我认识的微软中国同事那里,看到许多用户都有这么一个疑问?到底这是Google输入法实现的问题,还是Windows Vista系统本身的漏洞? 我们知道,在Windows系统下,应用程序都需要在相应的用户帐号(user account)下运行。比方说,如果你是以一个普通用户登录,然后执行一个应原创 2007-05-16 14:09:00 · 4778 阅读 · 15 评论 -
MOICE, 微软发布的OFFICE最新安全功能
5月21日,微软正式发布了MOICE,这是OFFICE 2003 和2007提供的最新安全功能。 MOICE,就是Microsoft Office Isolated Conversion Environment (MOICE)。不要问我这个单词怎么发音,以及为什么会选择这么一个(饶舌)的名字。身为开发人员的悲哀之一,就是对产品的最终命名没有任何影响力。唉,大权都掌握在市场部门手里。原创 2007-05-23 09:03:00 · 2181 阅读 · 0 评论 -
中间人攻击,也谈Firefox/Google Toolbar最新的安全漏洞
前一阵子Firefox/Google Toolbar的安全漏洞算是业界的新闻热点之一。这里我们就分析一下这个安全漏洞到底是什么。 这个安全漏洞说到底,就是一个典型的中间人攻击,也就是Man in the middle attack。现在的互联网的应用程序,有一个非常重要的功能,就是自动更新的功能。如果一旦检测到应用程序有了更新的版本发布,就会自动下载并安装。Firefox的扩展,和Goog原创 2007-06-13 02:13:00 · 3057 阅读 · 0 评论 -
2007安全焦点信息安全技术峰会有感
8月份在北京参加了2007 XCon,安全焦点信息安全技术峰会。今天终于有机会静下心写一点会后感了。 Xcon 是由XFocus组织的。XFocus,可以说是国内最大最有名的黑客/白客组织之一了。从这个会议里,我们来讨论一下安全发展的最新趋势。 例子1: 利用英特尔南桥之“顶块交换”模式进行BIOS启动劫持主讲者:孙冰 议题将揭示一种全新的,利用英特尔ICHx(原创 2007-09-28 06:06:00 · 4175 阅读 · 3 评论