读软件开发安全之道:概念、设计与实施11安全地编程

于 2024-08-28 06:30:00 发布
阅读量526 收藏 8
点赞数 14
分类专栏: 读软件开发安全之道:概率、设计与实施 文章标签: 安全 网络 软件安全 信息安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyingSeven/article/details/141599721
版权

1. 安全地编程

1.1. 在一个完整的软件设计过程中,我们要在创建和审查时就将安全性放在心中,但这只是产品开发过程的开始,接下来是实现、测试、部署、运行、监控、维护,并最终在生命周期结束时将其淘汰

1.2. 开发人员不仅必须忠实地实现一个优良设计中明确的安全规定,还必须避免无意中通过有缺陷的代码引入额外的漏洞

1.3. 深思熟虑的设计师可以预测编程中遇到的问题,并就注重安全性的领域提供建议等

  • 1.3.1. 知道是什么让代码变得易受攻击,以及如何让它更安全

1.4. 在理想情况下,在设计中应该指定主动的安全措施,即为了保护系统、资产和用户而构建的软件功能

  • 1.4.1. 注重开发中的安全性是为了避免软件轻易地掉入陷阱,比如组件和工具中的缺陷

2. 挑战

2.1. 安全编码的挑战主要在于避免引入缺陷,因为缺陷有可能成为可被利用的漏洞

  • 2.1.1. 避免以不安全的方式进行编码

2.2. 制作出能够真正运行的软件会带来更高的复杂性,并且需要在设计之外对细节进行填充,所有这些都不可避免地会带来安全风险

2.3. 完美并不是我们的目标,大多数会导致常见漏洞的编码失败模式都很好理解,而且不难纠正

2.4. 恶意影响

  • 2.4.1. 在考虑安全编码时,需要考虑的一个重要因素是了解攻击者可能会怎样对正在运行的代码施加影响

  • 2.4.2. 不受信任的输入可以通过直接或间接两种方式对代码产生影响

  • 2.4.3. 有时不受信任的数据与代码的交互会触发错误,或者会触发具有副作用的功能

  • 2.4.4. 通过数据对代码产生影响的技术被称为污染

  • 2.4.5. 还有一些其他方法,可以在不存储数据的情况下,让输入数据对代码产生间接影响

  • 2.4.6. 在大型系统中,当你从攻击面开始考虑传递闭包(即全部路径的集合)时,你可以体会到渗透到大量代码的潜力

    • 2.4.6.1. 能够通过多层进行扩展的能力很重要,因为这意味着攻击者可以访问比你预期更多的代码,从而使其能够控制代码所提供的功能

2.5. 漏洞是bug

  • 2.5.1. 大家都已经接受了所有软件都有bug这件事

    • 2.5.1.1. 例外也总是存在的:简单代码、可证明是正确的代码,以及运行在航空、医疗或其他关键设备上的高度工程化的软件

  • 2.5.2. 能够意识到bug的普遍性是走向安全编码的一个很好的起点

  • 2.5.3. 漏洞是对于攻击者来说有用的一部分软件bug,攻击者可以利用漏洞来造成伤害

  • 2.5.4. 几乎无法准确地将漏洞与其他bug区分开,因此一开始可以先识别明显不是漏洞的bug,也就是完全无害的bug

    • 2.5.4.1. 网页布局未能按照设计工作,就是一个无害的bug

    • 2.5.4.2. 搞乱布局的bug也可以是有害的

      2.5.4.2.1. 遮盖了用户必须了解才能做出准确安全决策的重要信息,因此漏洞的发现是很复杂的

  • 2.5.5. 一般来说我们所有人都在编写大量的已知错误,更不用说未知错误了

    • 2.5.5.1. 如果还没有修复全部bug,请考虑那些已知的bug,标记其可能造成的漏洞,并进行修复

    • 2.5.5.2. 修复一个bug几乎总是比调查并证明它是无害的更容易

  • 2.5.6. 有些漏洞是难缠的bug,因为它们不符合任何模式,它们不知怎么躲过了测试,并最终被释放出来

    • 2.5.6.1. 代码在正常用途中往往会表现正常,只有在故意进行的攻击下才会展现出有害的行为

  • 2.5.7. 从过去的失败中吸取教训是很重要的,因为这些漏洞类别中的很多已经存在了几十年

2.6. 漏洞链

  • 2.6.1. 漏洞链的意思是看似无害的多个bug可以结合起来,并形成严重危害安全的bug

    • 2.6.1.1. bug加成效应

  • 2.6.2. “垫脚石”bug组合在一起,形成了可被攻击者利用的漏洞

    • 2.6.2.1. 在Pwn2Own黑客大赛中,有一个团队曾设法将6个bug连接在一起,以实现一次高难度的利用

  • 2.6.3. 识别出bug是何时形成漏洞链的,通常非常具有挑战性

    • 2.6.3.1. 很容易看出尽可能主动地修复bug是多么有远见

    • 2.6.3.2. 应该积极修复那些会引入脆弱性的bug,尤其是关键资产周围的bug

    • 2.6.3.3. 认为“会没事的”的观点就只是一个观点,而不是证据

    • 2.6.3.4. 认为“它永远不会发生”而将bug留在那里是有风险的

    • 2.6.3.5. 充其量只是一种临时措施,而不是一个好的最终分流决定

  • 2.6.4. 在实践中,通常很难说服其他人花时间针对那些看似模糊的假设来实施修复,尤其是当修复可疑bug需要大量工作时

  • 2.6.5. 很可能大多数大型系统中都充满了未被发现的漏洞链,从而导致我们的系统变脆弱

2.7. bug和熵

  • 2.7.1. 一些bug往往会以不可预测的方式对软件造成破坏,这使得我们很难分析它们的可利用性

  • 2.7.2. 由执行线程之间的意外交互所引起的bug往往是容易产生这种问题的一类bug,因为它们通常以各种方式出现,并且看起来似乎是随机的

    • 2.7.2.1. 内存损坏bug是这类bug中的另一种,因为堆栈的内容在不断变化

  • 2.7.3. 自动化降低了重复尝试的成本,直到他们的攻击成功为止

  • 2.7.4. 即使你无法清晰地找出明确的因果链,熵诱导出的bug也可能很危险,并值得修复

2.8. 警觉

  • 2.8.1. 有了意识,就可以应对困难的挑战

  • 2.8.2. 注意力不集中很容易失败,即使事情并不困难

  • 2.8.3. 如果没有意识到潜在的安全隐患,并持续关注它,就很容易在不知不觉中掉入它的陷阱

  • 2.8.4. 为了能够交付安全的代码,一定要保持警惕并预测所有可能的输入和事件组合

  • 2.8.5. 警觉首先需要的是纪律,但随着练习的不断深入,当你知道要注意什么的时候,它就会成为一种习惯

  • 2.8.6. 每一次的修复都避免了未来有可能发生的攻击

3. 案例

3.1. 2014年,苹果公司为其大部分产品悄悄地发布了一系列关键安全补丁,并且出于“保护我们的客户”的考虑,拒绝解释问题的原因

  • 3.1.1. 一个明显的编辑失误造成的,这个失误破坏了安全保护

  • 3.1.2. GotoFail

3.2. 教训

  • 3.2.1. 关键代码中的小错误会给安全性带来毁灭性影响

  • 3.2.2. 在预见到的用例中,易受攻击的代码仍能正常工作

  • 3.2.3. 对安全性测试来说,测试代码拒绝无效用例的能力,比测试代码在合法用例中的正常运行更为重要

  • 3.2.4. 代码审查非常重要,它能够找出无意间引入的bug

3.3. 对策

  • 3.3.1. 更好的测试

    • 3.3.1.1. 至少应该为每个if条件都设置一个测试用例,以确保所有必要的检查都有效

  • 3.3.2. 注意那些无法访问的代码

    • 3.3.2.1. 很多编译器都提供了选项以对此进行标记

  • 3.3.3. 让代码尽可能明确,比如多用圆括号和花括号,即使可以略去它们

  • 3.3.4. 使用诸如linter之类的源代码分析工具,可以提高代码质量,并且在此过程中可能会标记出一些潜在的漏洞,以提前进行修复

  • 3.3.5. 考虑使用ad hoc源代码过滤器来检测可疑模式

  • 3.3.6. 测量并要求全面的测试覆盖率,尤其是对于安全关键代码

4. 编码漏洞

4.1. 新类别的bug是无穷无尽的,不要徒劳地试图编写一份涵盖所有潜在软件漏洞的完整列表

4.2. 原子性

  • 4.2.1. 将任务作为一个单一的步骤并保证有效地完成

  • 4.2.2. 原子性是一个重要的防御武器,它可以用来预防可能会导致漏洞的意外情况

4.3. 时序攻击

  • 4.3.1. 时序攻击是一种旁路攻击,它会从操作执行的时间上推断出一些信息,以此间接地了解系统中本应是私密的一些状态

  • 4.3.2. 时间差有时可以提供一些暗示,也就是说会有少量的受保护信息被泄露,从而使攻击者受益

  • 4.3.3. Meltdown(熔断)和Spectre(幽灵)是针对现代处理器的时序攻击,它们运行在软件层面之下,但原理是相同的

    • 4.3.3.1. 利用了预测执行(speculative execution)的行为特征,即处理器会加速得到预计算结果,同时为了速度而暂时放松各种检查

    • 4.3.3.2. 攻击代码可以通过检查缓存的状态,来推测被取消的预测执行期间发生的事情

    • 4.3.3.3. 内存缓存技术加快了执行速度,但缓存不会直接披露给软件

    • 4.3.3.4. 代码可以判断特定内存位置的内容是否曾经存在于缓存中,这是通过测量内存访问时间做出的判断,因为被缓存的内存处理速度快得多

  • 4.3.4. 当软件中存在一系列缓慢的操作(想想if…if…if…if…)时,软件的运行就会出现时间差

    • 4.3.4.1. 当我们对执行中的事件顺序有所了解时,就可以通过时间差来推断有价值的信息

    • 4.3.4.2. 当使用同一台机器上运行的代码来利用Meltdown和Spectre时,亚毫秒级的时间差都是可以被注意到的,并且这也是很重要的

  • 4.3.5. 最好的缓解措施是将时间差缩小到可接受的水平,也就是难以察觉的水平

  • 4.3.6. 当软件中存在固有的时间差,并且这个时序旁路会导致严重的泄露时,你可以用来缓解风险的做法就是人为引入时延,以模糊时序信号

4.4. 序列化

  • 4.4.1. 序列化是指将数据对象转换为字节流的通用技术

  • 4.4.2. 攻击者不仅能够篡改关键数据值,而且通过构造无效的字节序列,甚至能够使反序列化后的代码执行有害的操作

    • 4.4.2.1. 需要信任输入的数据,才可以构建出相应的对象以完成相应的功能

  • 4.4.3. 只有对受信任的序列化数据执行反序列化才是安全的

躺柒
关注
  • 14
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
软考-软件设计师 知识点整理(一篇就过了 建议收藏)
weixin_51169222的博客
09-23 10万+
软考-软件设计师上午题知识点总结
软件安全开发模型
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-30 3833
文章目录一、软件开发模型1、软件生命周期2、软件工程与开发模型二、软件安全开发模型1、微软的安全开发生命周期模型(SDL)2、McGraw 的内建安全模型(BSI)3、NIST安全开发生命周期模型4、OWASP的轻量级应用安全过程(CLASP) 一、软件开发模型 1、软件生命周期 如正常事务的诞生一样,软件也有其孕育、诞生、成长、成熟和消亡的阶段,一般称其过程为软件生命周期。 通常情况下,概括的说,软件生命周期由定义、开发和维护三个时期组成,灭一个阶段又可以划分为若干阶段。 软件定义时期: 定义时期通常是确
Web 开发安全与最佳实践:MVC、会话管理与常见攻击防御
tulingtuling的博客
08-16 4296
本文概述了Web应用开发中的关键概念安全考虑。首先介绍了MVC设计模式,阐述了Model、View和Controller的职责及在JavaWeb中的实现。随后讨论了JSP内置对象,并比较了JSP与Servlet的特点。文章还探讨了Session和Cookie的区别,以及单点登录中Cookie被禁用时的替代方案。此外,详细说明了Tomcat创建Servlet实例的过程。最后,文章重点强调了Web安全,包括SQL注入、XSS和CSRF攻击的防御策略,为开发安全可靠的Web应用提供了全面指导。
详解软件开发的标准过程(生命周期):跟着标准搞,设计没烦恼
热门推荐
m0_65431718的博客
05-12 1万+
软件⽣命周期中以划分为可⾏性研究、需求分析、概要设计、详细设计、实现、组装(集成)测试、 确认测试、使⽤、维护、退役10个阶段
DP书:鲲鹏处理器 架构与编程(十四)ACPI与软件架构具体调优
DarrenPig的博客
08-31 6681
另外,还可以通过性能监控和性能分析工具,对CPU和内存子系统进行监测和分析,找出性能瓶颈,并采取相应的优化策略。不同的应用场景和需求可能需要采取不同的优化手段,因此建议结合具体情况进行调优,并进行性能测试和评估,以验证优化效果。综合考虑应用程序的特点、网络环境以及业务需求,选择合适的调优方案,并进行性能测试和评估,以验证优化效果。Tuning Kit 是一款针对鲲鹏计算平台的性能分析和优化工具,能收集处理器硬件、操作系统、进程/线程、函数等各层次的性能数据,分析出系统性能指标,定位到系统瓶颈点及热点函数。
证券行业加密业务安全风险监测与防御技术研究
qq_61863348的博客
08-27 580
摘要:解决证券⾏业加密流量威胁问题、加密流量中的应⽤⻛险问题,对若⼲证券⾏业的实际流量内容进⾏调研分析, 分析了证券⾏业加密流量⾯临的合规性⻛险和加密协议及证书本⾝存在的⻛险、以及可能存在的外部加密流量威 胁,并提出防御策略和措施。关键字:证券加密业务、加密应用、加密流量、商用密码安全评估、加密风险、加密威胁、监测防御数据爆发式增长的DT(Data technology)时代,加密技术是数据传输的重要保护手段。随着互联网和企业内部流量场景的加密化趋势快速增长,证券行业也面临着更加迫切的加密需求。证券行业涉及
【第79课】服务攻防-中间件安全&IIS&Apache&Tomcat&Nginx&弱口令&错误配置&CVE
Lucker_YYY的博客
08-24 1033
免责声明本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。知识点1、中间件-IIS-短文件&解析&&写权限。
ChaCha20:高效且安全的流密码算法
jiamisoft的博客
08-23 524
ChaCha20作为一种现代流密码算法,以其高速性能和良好的安全性,在信息安全领域占据了一席之地。随着技术的发展,ChaCha20将继续在保护数据安全方面发挥重要作用。同时,随着量子计算技术的进步,我们也需要关注ChaCha20等现有加密算法在量子时代的安全性,并积极探索新的加密技术。
EV代码签名证书——消除软件下载时的安全警告
joySSL_的博客
08-27 608
开发公司和软件开发人员在发布应用程序后,当用户尝试下载并安装应用程序时,被SmartScreen识别为不常见或尚未建立起良好的信誉度,系统就会发出警告,提示用户该应用程序可能对电脑构成风险。最后在选择代码签名证书时一定要选择受信任的CA颁发的证书,否则部署完成之后无法被Windows识别还是一样会提示安全风险,可以先向JoySSL提交代码签名证书需求,如果不知道如何选择代码签名证书,也会有工作人员协助建议。:CA机构会发出代码签名证书Ukey,在收到证书后,你需要在相应的开发环境中安装证书。
Day98:云上攻防-云原生篇&K8s安全&Config泄漏&Etcd存储&Dashboard鉴权&Proxy暴露
m0_74402888的博客
08-24 1632
实战中不会常见,利用条件比较苛刻。默认通过证书认证,起一个数据库作用。主要存放节点的数据,如一些token和证书。攻击23791端口配置映射:第二种:在打开证书校验选项后,通过本地127.0.0.1:2379可免认证访问Etcd服务,但通过其他地址访问要携带cert(证书)进行认证访问,一般配合ssrf或其他利用,较为鸡肋。只能本地访问,直接未授权访问获取secrets和token利用。
物联网设备在等保测评中的安全考量
2301_79955948的博客
08-27 493
对物联网设备进行全面的漏洞分析,包括硬件和软件的漏洞,查找弱密码、默认凭证、未经身份验证的远程访问、未修复的安全漏洞等。:分析物联网设备与其他设备或服务器进行通信的安全性,检查通信协议的安全性、认证机制的可靠性、数据传输的加密与完整性保护等。:评估物联网设备对用户隐私的保护程度,检查设备是否收集和传输了不必要的用户信息,是否采用了加密和匿名化机制等。:评估设备的远程管理功能的安全性,包括远程升级、配置和监控等,检查设备远程管理的认证和授权机制是否安全可靠。
密码管理最佳实践:安全存储与定期更换的艺术
A526847的博客
08-27 388
在数字化时代,密码作为我们个人信息与资产安全的第一道防线,其重要性不言而喻。然而,随着网络威胁日益复杂多样,仅仅设置一个强密码已不足以保障安全。良好的密码管理实践,特别是安全存储与定期更换密码,成为了维护个人与企业安全的关键。本文将深入探讨这两项密码管理艺术的精髓。
【第81课】开发框架安全&SpringBoot&Struts2&Laravel&ThinkPHP&CVE复现
Lucker_YYY的博客
08-27 554
免责声明本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
AI依赖的隐患:技术能力退化、安全风险与社会不平等的未来
Brian_blog
08-24 475
当我们过度依赖AI工具来解决编程难题或优化代码时,我们的技术能力可能会悄然退化。在互联网公司中,开发者们习惯于依靠AI来完成复杂的任务,结果可能是对基础技术的理解和掌握逐渐减弱。长期依赖这种“捷径”,不仅可能使我们失去对核心技术的掌控能力,还可能导致整个行业的技术水平下降。AI工具在提供便利的同时,也带来了信息安全的新隐患。如果我们不对这些潜在的风险给予足够的重视,信息安全的底线可能会被不断突破,导致公司和个人面临严峻的安全危机。AI工具的普及可能导致技术红利集中在少数人手中,进一步加剧社会的不平等。
利用Nginx反向代理优化Web应用的性能与安全
陆业聪
08-24 1189
本文探讨了Nginx作为Web服务器和反向代理的功能,重点在于性能优化、安全增强和负载均衡。内容涉及负载均衡技术、静态资源缓存、HTTP/2支持、HTTPS配置及防DDoS策略。文章强调了Nginx在现代Web架构中的关键作用。
【MySQL数据库管理问答题】第7章 MySQL 安全
Songyaxuan075118的博客
08-27 448
常见的网络安全风险防范措施 防火墙和入侵检测系统 数据加密 强制身份验证和授权 基于角色的访问控制 定期更新和补丁管理 日志记录和监控 安全意识培训 与 SSL相关的文件功能说明 ca.pem server-cert.pem server-key.pem ca-key.pem client-cert.pem client-key.pem MySQL 8.0 企业防火墙的特点和功能 实时 SQL 注入防护 白名单模式 学习模式 报告与监控 多层次防护
Metasploit漏洞利用系列(十):MSF渗透测试 - 震网三代(远程快捷方式漏洞)实战
2402_86373248的博客
08-24 631
在本系列的第十篇中,我们将深入探讨如何利用Metasploit Framework (MSF) 来利用著名的震网三代(Stuxnet三代)中的一个远程快捷方式漏洞(LNK漏洞)。虽然“震网三代”并非官方术语,而是为了描述一个类似震网蠕虫的高级威胁,但我们将以此为背景,探索利用Windows快捷方式(LNK)文件的漏洞进行渗透测试的技术细节。漏洞描述:想象一个虚构的场景,其中存在一个类似于CVE-2017-8464的LNK漏洞,允许攻击者通过恶意快捷方式文件在受害者计算机上执行任意代码,无需用户交互。
AIM-D100-CA直流绝缘监测仪筑牢电动汽车充电安全防线
acrel002的博客
08-27 211
AIM-D100系列直流绝缘监测仪专门为了直流绝缘监测设计,可以应用在10~1500V的直流系统中,用于在线监测直流不接地系统正负极对地绝缘电阻,当绝缘电阻低于设定值时,发出预警或报警信号。
网络安全】服务基础第一阶段——第四节:Windows系统管理基础---- NTFS安全权限与SMB文件共享服务器
最新发布
goldfish8848的博客
08-27 509
因此,不同⽤户在⼀台设备上的登录类型(本地或远程)取决于他们登录的⽅式。如果他们直接在设备上登录,那是本地登录;如果他们通过⽹络连接到该设备,即使他们使⽤的是与设备连接的物理硬件(如通过KVM切换),也是远程登录。每种登录类型对⽂件和资源的访问权限有不同的影响,这需要在权限管理策略中考虑和适当配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值