应用程序安全设计清单

于 2022-09-13 10:46:18 发布
阅读量771 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/choery45/article/details/126828063
版权

1. 设计

1.1 代码流-基于MVC的代码

1.1.1 后门参数,功能,文件的存在

检查是否有后门或有没有暴露的业务逻辑类?

是否有与业务逻辑相关的,但未使用的配置?

如果请求参数被用于确定业务逻辑的方法,是否有一个用户权限与该权限允许使用的方法或活动的恰当匹配?

1.1.2 安全检查部署

是否存在处理输入的信息前部署安全检查?

1.1.3 不安全的数据绑定机制

检查未暴露的实参是否出现在表格对象中与用户输入绑定。如果出现,检查它们是否设有默认值。

检查未暴露的实参是否出现在表格对象中与用户输入绑定。如果出现,检查它们在于表格绑定前是否初始化?

1.2身份认证和访问控制机制

1.2.1 不安全的身份认证和访问控制逻辑

身份认证和授权检查的部署是否正确?

在收到非法的请求时。程序运行是否停止或被终止?

安全检查是否被正常执行?是否有后门参数?

在web的根目录中是否对所需文件和文件夹使用了安全检查?

1.2.2 多余的配置

是否有Access-ALL这样的默认配置?

配置是否用于所有的文件和用户?

如有容器托管的身份认证,是否只有基于Web的身份认证方法?

如有容器托管的身份认证,是否对所有的资源使用了身份认证?

1.2.3 不安全的会话管理

设计是否安全地处理会话?

1.2.4 脆弱的密码处理

密码是否强制使用了密码复杂度检查?

密码是否以加密的形式被存储?

密码是否向用户泄露,或写入文件,日志或控制台?

1.3 数据访问机制

1.3.1 配置文件或代码中存在敏感数据

数据库凭证是否以加密的形式被存储?

1.3.2 存在或支持对不同不安全数据和他们相关的漏洞

设计是否支持弱数据存储。如:扁平文件。

1.4 集中验证和截获器

1.4.1 任何已有安全控制中的弱点

集中验证是否应用于所有的请求和所有的输入?

集中验证检查是否阻止了所有的特殊字符?

验证过程中是否有特殊请求被忽略?

设计中是否对被验证的参数或功能维护特定列表?

2. 架构

2.1 入口点

2.1.1 不安全的数据处理和验证

所有不可信的输入数据是否得到了验证?

2.2 外部一体化

2.2.1 不安全的数据传输

数据是否在加密通道中传输?应用程序是否使用HTTPClient进行外部连接?

设计是否包含组件或模块之间的会话共享?在会话两端会话是否被正确验证?

2.2.2 被提高的权限等级

设计是否对外部链接或命令使用了被提高的OS或系统权限?

3. 配置

3.1 使用外部API

3.1.1 在第三方API或功能中出现已知漏洞

在使用的API或技术中是否含有已知漏洞?

3.2 内置安全控制

3.2.1 常见安全控制

设计框架中是否提供内置安全控制?

在已有的内置控制中是否含有漏洞或弱点?

在设计中是否启用了所有安全设置?

mou某谋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web应用程序安全设计指南
02-27
本页内容本模块内容目标适用范围如何使用本模块Web应用程序的体系结构和设计问题部署考虑输入验证身份验证授权配置管理敏感数据会话管理加密参数操作异常管理审核和记录设计指南小结总结其他资源本模块内容Web应用程序为结构设计人员、设计人员和开发人员提出了一系列复杂的安全问题。最安全、最有能力抵御攻击的Web应用程序是那些应用安全思想构建的应用程序。在设计初始阶段,应该使用可靠的体系结构和设计方法,同时要结合考虑程序部署以及企业的安全策略。如果不能做到这一点,将导致在现有基础结构上部署应用程序时,要不可避免地危及安全性。本模块提供了一系列安全的体系结构和设计指南,并按照常见的应用程序漏洞类别进行了组织
Web 应用程序安全设计指南
shangjava
06-14 375
本页内容 本模块内容 目标 适用范围 如何使用本模块 Web 应用程序的体系结构和设计问题 部署考虑 ...
安全系类之设计】应用安全相关
qq_35789269的博客
08-01 518
最近在做代码安全加固相关的工作,在这里顺便做一个总结 1、系统安全设计 1.1 数据流模型建模 数据流图简介:https://www.jianshu.com/p/d3cb07d37b86 绘图工具(亿图蛮好用它):https://www.edrawsoft.cn/edrawmax/flowchart-lp.html?channel=baidu 1.2 STRIDE威胁建模 威胁建模是一个非常有用的工具,它的核心是“像攻击者一样思考”。威胁建模可以在产品设计阶段、架构评审阶段或者产品运行时开展.
软件安全设计
热门推荐
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-30 1万+
文章目录一、软件设计与软件安全设计1、软件设计的主要工作2、软件安全设计的主要工作二、软件安全设计原则1、经典的设计原则2、安全设计原则介绍三、软件安全功能设计1、应用安全功能设计2、就与安全模式的软件安全设计四、威胁建模1、威胁建模的概念2、威胁建模的流程 一、软件设计与软件安全设计 1、软件设计的主要工作 1)总体设计和详细设计 总体设计:是指根据需求确定软件和数据的总体框架,包括系统设计过程和结构设计过程。 详细设计:是将总体设计的结果进一步详细的分化为软甲的算法标识和数据结构。 2)主要工作 从
网络安全程序设计
12-28
基于OpenSSL的安全聊天系统 – Windows或Linux平台均可 – 点到点模式 – 基于OpenSSL的安全套接字通信 – 客户端服务器双向认证 有源程序,可执行程序,以及其它工程文件,还有详细实验报告
Electron 安全检查清单.docx|Electron 安全检查清单.docx
09-28
**Electron 安全检查清单详解** Electron 是一个基于 Chromium 和 Node.js 的框架,它允许开发者使用 HTML、CSS 和 ...安全应被视为整个应用程序生命周期的一部分,从选择库到发布维护,每个环节都不能忽视。
利用物联网开发套件简化应用程序设计
01-19
虽然许多经验丰富的工程师可能已经熟悉这些技术,但是编写移动设备应用程序和云代码开发以及确保足够的安全性等其他功能是相对较新的技能。  情况恶化的是,物联网新手可能没有很多基于MCU平台的硬件开发背景。 ...
Android应用程式安全清单-Android开发
05-26
Android应用程序安全性检查表包含安全性注意事项的检查表,用于设计,测试和发布安全的Android应用程序。 它基于OWASP移动应用程序安全验证标准和移动安全性Tes Android应用程序安全检查表,该检查表包含设计,测试...
应用开发-程序接口设计文档模板
10-23
在实际应用中,接口设计文档应该遵循一定的规范,例如: - **清晰性**:接口描述应当简洁明了,避免模糊不清或冗余的信息。 - **一致性**:在整个文档中,参数命名、数据类型和响应格式应保持一致,便于阅读和...
数据库原理及应用课程设计报告.docx
12-15
系统运行流程包括教材科工作人员对书库中的存书进行整理,产生库存书目清单;教师根据库存书目清单填写和提交订书单;教材科根据教师订书单、班级意向书、任选课人数结合库存情况统计出采购需求;教材科根据教材供应...
毕业设计的程序设计清单
05-18
互联网的今天,AJAX已经不是什么陌生的词汇了。说起AJAX,可能会立即想起因RSS而兴起的XML。XML的解析,恐怕已经不是什么难题了,特别是PHP5,大量的XML解析器的涌现,如最轻量级的SimpleXML。不过对于AJAX来说,XML的解析更倾向于前台Javascript的支持度。我想所有解析过XML的人,都会因树和节点而头大。不可否认,XML是很不错的数据存储方式,但是其灵活恰恰造成了其解析的困难。当然,这里所指的困难,是相对于本文的主角--JSON而言。
浅谈软件安全设计(一)
03-21
{************************************************************** 浅谈软件安全设计(一) code by 黑夜彩虹 & vxin with almost pure delphi 网站:http://soft.eastrise.net 2007-03-07 --- 转载时请保留作者信息。 **************************************************************} 此CM的设计模式: 1、插入一些花指令 2、写了一些代码迷惑Cracker 3、有简单的Anti_DEDE 和检测调试器 话不多说,请看以下代码: unit main; interface uses Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms, Dialogs, StdCtrls, ExtCtrls,strutils; Const C1= 17856; C2= 23589; type TForm1 = class(TForm) Image1: TImage; Edit1: TEdit; Label1: TLabel; Label2: TLabel; Edit2: TEdit; Button1: TButton; procedure FormCreate(Sender: TObject); procedure Button1Click(Sender: TObject); private { Private declarations } public { Public declarations } end; var Form1: TForm1; implementation {$R *.dfm} Procedure Anti_DeDe();//检测DEDE反编译器 var DeDeHandle:THandle; i:integer; begin DeDeHandle:=FindWindow(nil,chr($64)+chr($65)+chr($64)+chr($65)); if DeDeHandle0 then begin For i:=1 to 4500 do SendMessage(DeDeHandle,WM_CLOSE,0,0); end; end; Function ABC42():Boolean; //检测调试器; var YInt,NInt:Integer; begin asm mov eax,fs:[30h] movzx eax,byte ptr[eax+2h] or al,al jz @No jnz @Yes @No: mov NInt,1 @Yes: Mov YInt,1 end; if YInt=1 then Result:=True; if NInt=1 then Result:=False; end; function EncryptModule(SourceStr:String;Key:Word;N:Integer):String; var //加密函数 I:Integer; begin SetLength(Result,Length(SourceStr));//利用SetLength函数指定密文长度 //对每一个索引元素进行变换 for I:=1 to Length(SourceStr) do begin Result[I]:=Char(byte(SourceStr[I]) xor (Key Shr N)); Key:= (byte(Result[I]) + Key)*C1+C2; end; end; //==========以下是549的函数,据说没有暴破点,顺便试一试 //========函数作用:动态改变程序运行罗辑 function GetEIP: Integer;//自动生成address的方法 asm mov eax, [esp]; sub eax, 5; //call GetEIP占用5字节 end; function PatchOneItem(PatchItem: String): Boolean; var PatchAddress: Integer; PatchLength: DWord; PatchData: Pointer; PatchDataStr: String; i: Integer; PatchByte: Byte; PID, PHandle: THandle; WriteCount: DWord; begin Result := False; if Length(PatchItem) < 11 then Exit; PatchAddress := StrToInt(\'0x\' + LeftStr(PatchItem, 8)); for i := 1 to Length(PatchItem) do begin if PatchItem[i] \' \' then PatchDataStr := PatchDataStr + PatchItem[i]; end; PatchLength := (Length(PatchDataStr) - 9) div 2; GetMem(PatchData, PatchLength); try for i := 0 to PatchLength - 1 do begin PatchByte := StrToInt(\'0x\'+PatchDataStr[10 + i * 2] + PatchDataStr[10 + i * 2 + 1]); Byte(Pointer(Integer(PatchData) + i)^) := PatchByte; end; GetWindowThreadProcessId(Application.Handle, PID); PHandle := OpenProcess(PROCESS_ALL_ACCESS, False, PID); WriteProcessMemory(PHandle, Pointer(PatchAddress), PatchData, PatchLength, WriteCount); CloseHandle(PHandle); finally FreeMem(PatchData, PatchLength); end; Result := PatchLength = WriteCount; end; procedure Patch(PatchFile: String); var PatchItems: TStrings; PatchIndex: Integer; begin if not FileExists(PatchFile) then Exit; PatchItems := TStringList.Create; try PatchItems.LoadFromFile(PatchFile); for PatchIndex := 0 to PatchItems.Count - 1 do begin PatchOneItem(PatchItems[PatchIndex]); end; finally PatchItems.Free; end; end; procedure TForm1.FormCreate(Sender: TObject); begin Anti_DeDe; //检测DEDE,检测到关闭它。 if ABC42 then ExitProcess(0); //检测调试器,终止。 end; procedure TForm1.Button1Click(Sender: TObject); //注册按纽,开始检测 begin //========在这里插入一些花指令 asm jz @Start jnz @Start db 0E8h, 24h, 0, 0 ; db 0, 8Bh, 44h, 24h db 4, 8Bh, 0, 3Dh db 4, 0, 0, 80h db 75h, 8, 8Bh, 64h db 24h, 8, 0EBh, 4 db 58h, 0EBh, 0Ch, 0E9h db 64h, 8Fh, 5, 0 db 0, 0, 0, 74h db 0F3h, 75h, 0F1h, 0EBh db 24h, 64h, 0FFh, 35h db 0, 0, 0, 0 db 0EBh, 12h, 0FFh, 9Ch db 74h, 3, 75h, 1 db 0E9h, 81h, 0Ch, 24h db 0, 1, 0, 0 db 9Dh, 90h, 0EBh, 0F4h db 64h, 89h, 25h, 0 db 0, 0, 0, 0EBh db 0E6h db 0EBh, 1, 0Fh, 31h ; db 0F0h, 0EBh, 0Ch, 33h db 0C8h, 0EBh, 3, 0EBh db 9, 0Fh, 59h, 74h db 5, 75h, 0F8h, 51h db 0EBh, 0F1h db 0B9h, 4, 0, 0 ; @Start: end; if length(edit2.Text)>3 then //比较大于3位 begin //============再写一些骗Cracker if edit2.Text=EncryptModule(Edit1.Text,12345,10) then begin showmessage(\'请重启本软件。\'); //=======还可以再写一些记号,这里我就不写了 end; PatchOneItem(edit2.Text); //真正的比较 showmessage(\'ok\'); //弹出OK对话框 end; end; end.  //====附件为CM,会破解的兄弟可以试试其强度....
安全程序设计
doskey的专栏
12-02 4051
安全程序设计 概述 在当前的软件行业里,太多的程序有安全问题,代码在被发布前只是经过很少的测试,即使 一些有专业测试人员的软件公司也很少进行安全编程方面的测试,原因在于缺少对安全编程 技术的了解。本文将尝试给程序员一个比较清晰的概念,安全漏洞的来源,和避免安全漏洞 的技巧,使写安全程序的过程变得轻松起来。 运用好的编程技巧是非常重要的,甚至你的代码只是将运行在限制的时期和限制的条件下。 许多程
java语言程序设计 程序清单_Java语言程序设计(二)
weixin_30510711的博客
02-26 480
1.变量:我们使用变量来存储将在程序中用到的数据。它们被称为变量是因为它们的值可能会被改变。例如上一篇文章中举的例子,radius和area都是双精度浮点型数据,我们可以将任意数值赋给radius和area。变量用于表示特定类型的数据,为了使用变量,可以通过告诉编译器变量的名字及其他可以存储的数据类型来声明变量。下面试一下变量声明的例子:int count;double radius;这个例子中使...
编程语言学习清单
weixin_34121304的博客
06-22 215
  比较熟悉的语言:c,shell,sql,pl/sql,java,c#   接触过的语言:c++,javascript,html(算吗?),汇编语言   打算学的语言:lisp,python | perl(学哪一种呢?还在纠结。决定选择python。据说perl有很多shell的痕迹,那我还是学好shell好了。),lua,vba,scala,go,ruby,haskell 转载于:http...
程序清单11.29
qq_42279940的博客
08-20 817
/sort_str.c – 读入字符串,并排序字符串/ include include define SIZE 81 /限制字符串长度,包括 \0 / define LIM 20 /可读入的最多行数/ define HALT “” /空字符串停止输入/ void stsrt(char...
关于安全登录流程的设计
bobbyyao的博客
06-16 2846
###用到的名词解释### ouid : 为生成s2存在,md5(uid) s0 : pwd  (就是用户的密码) s1 : md5(s0) s2 : md5(s1,ouid) (db中存储的密码) tg1: 客户端生成的动态秘钥(客户端自定义?) tg2: 客户端首次提交给服务器含有tg1的串,tg2=TEA(s2, {tg1,s1}) tg3: 服务端根据 passwor
【软件安全设计安全开发生命周期(SDL)
a19576的专栏
10-23 8158
http://blog.nsfocus.net/sdl/ 安全开发生命周期(SDL)是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。 安全应用从安全设计开始,软件的安全问题很大一部分是由于不安全设计而引入的,微软用多年的经验总结出了安全开发生命周期(SDL),并提出了攻击面最小化、STRIDE威胁建模等多种方法辅助安全人员对软件进行安全设计安全设计对于软件...
《Java程序设计项目化教程》.docx
最新发布
12-16
课程内容包括商城库存清单程序设计和选择结构及循环结构语句的使用,适合某某年级某某学期的学生学习。教程由某某老师编撰,包含教学目标设定、知识讲解、实战练习和课后思考题。" 本教程的核心知识点分为两大部分...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值