本文详细探讨了软件开发安全中的关键概念,包括跨站攻击脚本防御、病毒类型、伪装攻击及恶意代码处理。同时,深入讲解了数据库管理系统的安全性、数据不正确取值的问题,以及组织管理和软件开发模型。重点关注了数据库ACID原则和多实例化,还介绍了软件能力成熟度模型SW-CMM和IDEAL模型在组织管理中的应用。
软件攻击与防御
跨站攻击脚本防御
- 反射输入:一个用户的输入的内容,会以代码的形式被另一个用户读取执行;
- 参数验证来阻止反射输入字段中带有
病毒类型
- MBR病毒:主引导记录病毒将重定向引导过程,并在操作系统中加载其它病毒文件;
- 文件感染: 用于替代系统中主要文件,注入病毒代码执行恶意操作;
- 多态病毒:通过不断改变自己特征码来躲避杀毒软件的检测;
- 服务注入:侵入系统可信服务组件,来躲避杀毒软件的特征检测;
伪装攻击
- 描述:假冒适当的访问许可证权限获得用户或者第三方认证的系统身份;
- IP欺骗:使用可信任的IP地址,来试图获得访问其他外部资源的权限,常发生在没有边界过滤的网络系统中;
- 例子1:源IP地址为私有网络的数据包,不能从外部网络进入;
- 例子2:源IP地址为外部网络的数据包,不能从内部网络离开;
- 例子3:拥有内部IP地址数据包,不能从任何方向通过路由器;
- 会话劫持:中途拦截已授权用户与资源之间通讯数据的一部分,然后使用劫持技术接管会话并伪装成已授权用户的身份获取信息;
- 伪装合法客户端;
- 伪装合法服务器;
- 中间人攻击;
- 邮件伪装攻击:梅丽莎病毒和ILOVEYOU;
最低0.47元/天 解锁文章
804
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
