对于开源软件的审查(有无后门等)

最新推荐文章于 2023-10-08 21:18:59 发布
最新推荐文章于 2023-10-08 21:18:59 发布
阅读量1.8k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39653966/article/details/92780364
版权

最近公司申请安服资质,让我帮忙写个对开源软件的审查方法,就随便编了以下,如有补充还请各位扶正

其实我觉得他们为啥不怀疑windows有问题呢......

 

非黑客攻击行为安全工具,此类工具通常为辅助测试工具,不具备直接攻击行为,且通常具有官方来源,例如:浏览器,抓包工具,编程语言安装包,部分扫描工具等。对于此类工具的处理有以下几种方式:

1.官方来源的文件验证文件的md5,与官方给出的md5进行对比。

2.文件上传到哈勃文件分析系统进行分析检测。

3.使用杀毒软件进行杀毒。

黑客攻击行为安全工具,此类工具通常为攻击测试工具,具备直接攻击行为,会被杀毒软件的以病毒来进行报告,部分软件无官方来源,而是来源于网络下载等。例如:密码爆破工具,sql注入工具,漏洞批量利用程序,端口扫描及信息收集工具等。此类工具通常由个人研发完成,无安全保证,极易在流传过程中被植入木马,后门等程序。在此类软件的使用之前应做到以下几步来进行分析:

1.在虚拟机中运行,不直接在真实机的系统中运行。

2.检查程序运行后有无异常流量行为,如果有检查程序请求的ip地址有无异常,是否存在远程下载、远程连接等请求。

3.检测软件进程运行后,有无对注册表的修改。

4.对软件脱壳后进行逆向分析,包括静态分析及动态调试。

5对本地进程进行监控,检查软件运行后有无可疑进程运行。

6.检查软件运行后有无异常文件释放。

7.检查文件dll中有无恶意代码。

liangyao_
关注
专栏目录
Project Desk:项目管理软件-开源
05-10
Project Desk是使用PHP开发的基于Web的项目管理软件
开源软件可能会给您带来风险 —— 当您不了解它的时候。
VinFOSSIDce的博客
04-27 1万+
        开源软件是提高生产力和软件质量的关键因素,正确的使用开源软件,可以提高产品的竞争力,但是在产品功能不断更新、开发周期不断缩短的压力下,很多公司难以有效的对代码中的开源软件进行有效的识别和管理。而失去管理的开源软件可能会带来多种风险。风险一:许可证违规        大多数开源软件都有其发布许可(License),如果要使用这些开源软件,应当遵守其许可证(License)的要求,如果...
如何检测网站后门
lllljz的专栏
01-26 1万+
很多时候我们无法保障下载的网站源码是否后门,因此需要检测一下,参考了很多方法,觉得用360网站安全检测是最快捷的方式了。 网址: http://safe.webscan.360.cn/
大商创的开源代码中有很多后门,以方便官方监控系统的使用,官方做的真是无孔不入啊,我找到了下面几种
程序员教程吧
08-23 861
代码分析:代码最终会生成一个缓存文件,下次请求就直接加载文件了,但是我们发现,这个缓存文件内容就是请求官方地址的,官方将地址base64加密了,aHR0cDovL2Vjc2hvcC5lY21vYmFuLmNvbS9kc2MucGhw,这个就地址的加密后的串,你可以解开看下,就是certi的值啊,就算数据库里没有,我代码中还有加密的呢。这段代码去掉,那么请求就失效了吧,但是!我们开始全局搜索吧。我们发现这就是大商创的后门地址了,那我们去代码中看看,大商创是怎么利用的这个地址的吧,我们全局搜索一下。
开源编译器插入后门
Man_OC的专栏
09-21 3084
原文地址:https://ring0.me/2014/11/insert-backdoor-into-compiler/ 说起 Ken Thompson,我们首先想到的是他发明的 UNIX 操作系统。他因此获得 1984 年的图灵奖。在图灵奖演讲上,Ken Thompson 提出了一个深刻的问题:看到了软件的源码,就意味着没有后门吗?编译器是否可能存在能自我复制的后门? 这
恶意软件分析实战03-一个后门的逆向分析
輚至消亡
07-20 752
1. Lab03-03 先查壳发现无壳, VC++6.0编写: VT上走一波, 57个杀毒引擎认定是恶意的。 有资源表而且那么大,可能夹了私活: ResHacker查看资源节内容, 的确是带了东西,这玩意感觉也不像是多媒体资源。也有可能是被加密了存进去的或者加壳了。 来查询一下导入表: 该恶意程序只导入了kernel32.dll,从导入表的导入API来判断, 该恶意进程可能: 1. 使用了傀儡进程技术,即挂起创建一个合法的程序但却在内部执行非法的shellcode ...
安全-开源项目安全检查规范
lolo_zhu的博客
02-14 1127
  有些公司为了提高在IT圈的技术知名度,增加行业影响力,一些技术会定期将非核心业务源代码以公司级名义上传到源码开源平台,如GitHub。特此输出相关的安全检查规范 第一条   开源的代码项目可以为通用的解决方案,禁止将公司业务相关的核心代码上传到开源平台。 第二条   为保证上传的源代码未泄漏公司内部敏感信息(配置信息、密码、密钥、公司内网IP地址等),...
Lerx开源网站内容管理系统
aichibeigua的博客
04-16 351
介绍: Lerx 开源网站内容管理系统(CMS)是一个以Java+MySQL进行开发的内容管理系统源码。 一.简介 1.跨平台设计,能无差别运行于Windows、Linux、MacOS等系统平台。 2.采用了安全、稳定的基于Java的SpringMVC框架。 3.数据库ORM持久化框架使用Hibernate 5.4,通过加载不同的驱动程序支持MySQL、Oracle、Microsoft SQL Server等数据库。 4.具有云端软件版本更新提示服务器。 5.具有能提供一键式打包、解包、上传、下载、无配置式
详细介绍 Apache Licene 2.0 协议
偏科程序猿
03-01 3240
Apache Licence是著名的非盈利开源组织Apache采用的协议。该协议和BSD类似,同样鼓励代码共享和尊重原作者的著作权,同样允许代码修改,再发布(作为开源或商业软件)。需要满足的条件也和BSD类似: 需要给代码的用户一份Apache Licence 如果你修改了代码,需要在被修改的文件中说明。 在延伸的代码中(修改和有源代码衍生的代码中)需要带有原来代码中的协议,商标,专
Affliction X Cyber Shell Demo:AFX后门外壳演示。-开源
05-27
对于AFX后门来说,这意味着开发过程是透明的,任何人都可以审查代码以确保安全性,并且能够根据自己的需求进行定制。开源社区的贡献和反馈对于软件的持续改进和漏洞修复至关重要。 【压缩包子文件的文件名称列表】...
otseca:开源安全审核工具,用于搜索和转储系统配置。 它允许您以HTML或RAW-HTML格式生成报告
02-04
开源安全审核工具,用于搜索和转储系统配置。 | | | | 由和创建 介绍 主要目标 创建此工具的主要假设是在客户环境中更轻松,更快速地交付命令集。 作为这种扫描的结果,我希望获得有关系统组件的最有用的信息,这些信息将在以后进行渗透测试和审核。 为了谁 Otseca有助于收集有关给定系统的许多重要信息。 它对: :check_box_with_check: 系统管理员 :check_box_with_check: 安全研究人员 :check_box_with_check: 安全专家 :check_box_with_check: 渗透者 :check_box_with_check: 骇客 如何使用 这很简单: # Clone this repository git clone https://github.com/trimstray/otseca # Go into the rep
开源软件成熟度评估及选型指南,完整扫描
11-03
开源软件成熟度评估及选型指南》对于那些利用开源软件的网络社区建设者也有一定的参考价值。 全书内容共分为四部分:第一部分主要讲解开源软件的相关概念,开源运动在国际和国内发展的历史,及开源软件应用普及...
freescada开源wpf组态软件
04-02
4. **开源特性**:开源意味着源代码对公众开放,用户可以查看、修改并分发代码,这对于学习、研究和定制软件功能非常有益。虽然2.0版本之后未见更新,但已有的代码仍能为开发者提供宝贵的参考和学习资源。 5. **...
C++软件调试与异常排查从入门到精通系列文章汇总
热门推荐
dvlinker的技术专栏
06-29 17万+
根据近几年排查软件异常的实践与经验,系统地讲解了C++软件异常常见原因与常用排查方法,以图文并茂的方式给出具体的分析实例,带领大家逐步掌握C++软件异常排查的相关技术与要领。
一文带你了解三大开源关系型数据库:SQLite、MySQL和PostgreSQL
dvlinker的技术专栏
10-08 4万+
一文带你了解三大开源关系型数据库:SQLite、MySQL和PostgreSQL。
哪种开源许可证下的软件可以用于商业
huadingjin
10-11 5100
哪种开源许可证下的软件可以用于商业   开源软件大家应该不会陌生,它帮助我们可以迅速的了解一个技术的实现过程。并且可以加快我们的开发速度。但是不同的开源软件遵守各自的许可证协议,有些开源软件是不能用作商业用途的。经过Open Source Initiative 组织通过批准的开源协议目有60多种,那么哪种许可证下的开源软件可以用于商业,哪种又不能呢?下面就我个人的理解做个介绍。 下面这个博...
你以为看到了软件的源码,就意味着没有后门吗?关于开发环境安全那点儿事儿
cowcomic的专栏
12-18 3603
废话不多说,先看两个新闻 吃瓜群众带你了解 NMP 包 event-stream 被植入比特币后门的来龙去脉 “微信勒索病毒”全纪实:打扰了,我只是病毒界的杨超越 第二篇挺长的,先帮总结一下,各位看官有时间可以再慢慢看,挺有意思,可以当看小说打法时间 第一篇 Nodejs生态圈中一个重要的项目event-stream由于作者经历有限,就把开发维护的工作转让给了另一个人 结果这个人在这个项目里偷偷...
开源软件有漏洞?我怎么知道?又该怎么办
chengju9248的博客
07-20 665
“我使用开源软件存在着安全漏洞的风险?我怎么知道。”这也许是许多使用开源软件的开发者所有的疑惑。 没错,许多开发者使用开源软件都有安全漏洞风险提示,及漏洞补丁信息。只要保证开源软件的漏洞补丁保持在最近就可以避免其中的安全漏洞风险了。 然而,更新漏洞库却是一件很令...
基于SpringBoot仿天猫购物系统.zip(毕设&课设&实训&大作业&竞赛&项目)
最新发布
09-20
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全领域),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助。 【资源内容】:包含完整源码+工程文件+说明(如有)等。答辩评审平均分达到96分,放心下载使用!可轻松复现,设计报告也可借鉴此项目,该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 【提供帮助】:有任何使用问题欢迎随时与我联系,我会及时解答解惑,提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【项目价值】:可用在相关项目设计中,皆可应用在项目、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面,可借鉴此优质项目实现复刻,设计报告也可借鉴此项目,也可基于此项目来扩展开发出更多功能 下载后请首先打开README文件(如有),项目工程可直接复现复刻,如果基础还行,也可在此程序基础上进行修改,以实现其它功能。供开源学习/技术交流/学习参考,勿用于商业用途。质量优质,放心下载使用
理解开源软件许可协议:简化参与与权益保护
在本次分享中,主讲人梁兴臣和张环冲针对开源软件许可协议进行了深入的介绍,主要关注于为何选择开源许可协议以及如何有效地应用它们。首先,他们强调了开源许可协议的重要性,它能帮助开发者免去研究复杂专业条款的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值