搜索
软件安全问题的根源:内因:软件有错误*脆弱点*缺陷(设计层)*Bug(实现层)*软件开发方法存在问题外因:软件的运行环境*网络对软件的发展产生了巨大的影响(负面居多)外部环境:黑客、恶意代码内部环境:误操作、报复、经济犯罪7+1的软件安全问题领域:1.输入验证和表示法2.滥用API3.安全特性4.时间和状态5.错误处理6.代码质量7.封装*.环境1.输入验证和表示法输入验证和表示问题由元字符、替换编码、数字表示法引起。如果选择使用输入验证,那么就要使用白列表、而不是黑列表。由于轻信输入而造成的大问题包括:缓冲区溢出、跨站脚本攻击、SQL注入、缓存毒药和其它脚本小子们非常轻易吃到的“低挂的果实”(这里只安全性较低的软件设计)。2.滥用APIAPI规定了调用者和被调用程序之间的使用约定。滥用API的常见模式是由调用者错误地信任被调用方造成的。例如,调用者希望从被调用程序那里返回获取用户信息,而被调用程序并没有任何的安全性保证其信息的可靠性。于是调用者就假定了调用程序返回数据的正确性和安全性。当然,也存在“坏人”有意破坏调用者-调用程序之间约定的行为。3.安全特性软件安全不是安全软件。世界上所有的加密算法都不能满足真正的安全需要。尽管使用SSL保护网络流量的手段,而认证、访问控制、机密性保障、加密算法、权限管理等都可能存在着安全缺陷。4.时间与状态分布式计算与时间和状态相关。为了使多个组件进行通信,状态必须在组件之间共享,而所有这些都需要花费时间。因此在时间和状态之间可能存在着巨大的、未发现的天然攻击资源。多数开发者人格化了他们的工作(将程序看作“它”的单体)。他们自以为单一、全能的控制线程能够孜孜不倦地日夜工作,以同一种方式支撑整个应用。而现代计算机在任务之间切换速度与日俱增,并且多核、多CPU或者分布式系统的应用使两件事情完全可以在同一时间发生。因此缺陷便出现在开发者所设想的程序执行模型和实际情况之间的差异中。这些缺陷与在线程、进程、时间和信息之间的无法预期的交互相关。而这些交互往往通过共享状态发生:信号、变量、文件系统、全局信息等。5.错误处理如果想破坏软件,那么就让它抛出一下垃圾数据,并看看你导致了哪些错误。在现代面向对系统中,异常的想法取代了被禁止的goto概念。与错误处理相关的安全缺陷在开发中很常见。在API被滥用的情况下,安全缺陷主要存在于两种方式:第一,开发者忘记处理错误或者粗略得处理错误;第二,在产生错误时要么给出过于详细的信息,要么错误过于太具放射性以至于没有可处理它们的方式。6.代码质量安全是可靠性的子集。如果可以完整地描述你的系统和其存在的正面、负面的安全可能性,那么安全成为了可靠性的子集。劣质代码将导致无法预期的行为,从软件使用者的观点,它将被认为是很差的可用性;而从攻击者的视角看,糟糕的代码将提供给系统施压的可乘之机。7.封装封装是指在事物之间的边界和它们之间建立的界限。在web浏览器中,它确保了移动代码不能够强行我们的硬盘攻击。在web服务端,它意味着在经过认证的有效数据和私密数据之间的差别。这里的边界非常重要,如今在类之间的一些方法构成了重要的边界,因此信任模式需要谨慎的设置。8.环境这是上面七种领域的外部领域,它包括在代码外部的所有东西,并对于我们建立的软件安全同样重要。十大web安全问题:1.未验证输入问题描述:web请求信息在被Web应用使用之前都是未验证的,攻击者能够利用其中的弱点攻击服务器;攻击者通过伪造HTTP请求的各个部分,例如URL,查询字符串,头,cookies,表单域,隐藏域等绕过站点的安全机制。这些常见的伪造输入攻击通常包括:强制浏览,命令插入,跨站脚本,缓冲区溢出,格式化字符串,SQL注入,cookie中毒,隐藏域操作等等。保护方法:过滤恶意输入;客户端输入验证、服务器端验证。2.破坏访问控制问题描述:对认证用户能够进行的操作缺乏合理的限制。攻击者利用其中的缺陷访问其他用户的账户,浏览敏感文件,或使用未授权的功能。保护方法:加强对会话的保护(会话ID);防止暴力浏览绕过访问控制检查;合理设置访问权限;禁止客户端缓存。3.破坏认证和会话管理问题描述:账户信用和会话令牌没有被合理保护,攻击者能够危及密码、密钥、会话cookies或其他限制而冒用他人的账户保护方法:加强密码强度;限制登录次数;使用SSL保护传输中的认证信息;使用SSL保护会话ID;禁止客户端缓存。4.跨站脚本缺陷问题描述:web应用能被利用将攻击转送到端用户的浏览器。成功的跨站攻击能够暴露用户的会话令牌,攻击本地计算机或者用虚假信息欺骗用户。保护方法:对用户提供的输出进行编码;根据白列表,严格验证查询字符串;过滤、清除页面请求中的活动内容。5.缓冲区溢出漏洞问题描述:Web应用组件可能存在缓冲区溢出漏洞,对它的攻击会造成严重的攻击后果。这种漏洞是由于CGI,库函数,驱动程序、应用服务器组件等没有合理地验证输入。保护方法:密切跟踪Web应用产品的最新错误报告,及时打补丁;使用漏洞扫描工具定期对系统进行缓冲区溢出漏洞扫描;严格审查Web应用程序中从用户请求接收数据的代码,确保对缓冲区长度进行了检查。6.注入缺陷问题描述:Web应用在访问外部系统或本地操作系统时需要传递参数,这些参数可能会被攻击者利用嵌入恶意代码,这样导致外部系统能以应用服务器的权限执行系统命令。保护方法:避免使用外部解释器;对于涉及到的后台数据库调用,应对数据进行严格验证;将Web应用程序设置为能满足需要的最小权限运行;不得不使用外部命令时进行严格检查;应该检查调用的所有输出、返回代码和错误代码,最低限度要能确定何时发生了错误。7.不合理的错误处理问题描述:正常操作中的错误条件没能合理处理,如果攻击者使Web应用产生未作处理的错误,就能得到具体系统信息,使安全机制失效,使服务器崩溃。保护方法:设计合理的错误处理策略并作好文档,包括要处理的错误类型、错误提示信息、日志需记录的信息;处理所有可能的错误,但不暴露不该暴露的细节;遇到重复的错误尝试时发出警告。8.不安全存储问题描述:Web应用经常使用加密函数保护信息和身份证明,这些函数和保护其完整性的代码很难完全正确地实现,从而导致弱保护问题。保护方法除非必要,尽量少保存数据;存储密码的摘要(例如SHA-1)而非加密的密码;必须使用加密算法时,尽量采用公开的密码算法库。并妥善存储秘密信息,如密钥、证书、密码等。9.拒绝服务问题描述:攻击者能够消耗Web应用的资源,使其无法正确为合法用户服务,或封闭用户账户甚至使服务瘫痪。保护方法:限定分配给每个用户最少量的资源;限制每个合法用户仅有一个连接,并采用适当的丢弃部分请求的策略;避免非认证用户对数据库或其他关键资源的非必要访问;使用内容缓存的方法减少对数据库的访问。10.不安全配置管理问题描述:对服务器合理配置是实现安全性的重要因素,服务器通常都有损害安全性的不合理配置。保护方法:为特定服务器和Web服务器建立强化安全配置策略,关闭无用服务,建立角色、权限和账户,使用日志和告警措施;始终维护服务器的安全配置,跟踪最新安全漏洞,应用最新补丁,升级安全设置,定期漏洞扫描,定期进行内部审查。两种安全模型:微软的安全软件开发模型:1.安全开发生命周期(SDL):SDL总计为四步:第一步:安全教育,通过教育才能提高安全意识。设计人员:学会分析威胁开发人员:跟踪代码中每字节数据、质疑所有关于数据的假设测试人员:关注数据的变化第二步:设计阶段,利用威胁建模技术建立系统模型。第三步:开发阶段,编码与测试并行。第四步:发行与维护阶段,使用标准的修复机制修复安全缺陷。2.威胁建模:威胁模型是一种基于安全的分析,有助于人们确定给产品造成的最高级别的安全风险,以及攻击是如何表现出来的。其目标是确定需要缓和哪些威胁,如何来缓和这些威胁。主要分为四个步骤:第一步:分解应用程序。使用DFD(数据流图)或者UML(统一建模语言)描述威胁模型,作为分析应用程序的重要组成部分。对应用程序进行形式化分解,自顶向下,逐层细化,在分解过程中关注过程之间的数据流。例如:第二步:确定系统面临的威胁。按照“STRIDE”威胁模型:S:身份欺骗(Spoofingidentity),造成冒充合法用户、服务器欺骗(DNS欺骗,DNS缓存中毒)。T:篡改数据(Tamperingwithdata)。R:否认(Repudiation)、。I:信息泄露(Informationdisclosure)。D:拒绝服务(Denialofservice,DOS)。E:特权提升(Elevationofprivilege)。第三步:威胁评估。按照“DREAD”算法为威胁分级,并建立攻击树:D:潜在的破坏性(damagepotential)R:再现性(reproducibility)E:可利用性(exploitability)A:受影响的用户(affectedusers)D:可发现性(discoverability)例如:Threat#1:恶意用户浏览网络上的秘密工资数据潜在的破坏性:读取他人的私密工资并不是开玩笑的事。——风险值为8再现性:100%可再现。——风险值为10可利用性:必须处于同一子网或者处于同一路由器下。——风险值为7受影响的用户:每个人都将受到影响。——风险值为10可发现性:让我们假设它已经发生。——风险值为10计算风险DREAD:(8+10+7+10+10)/5=9攻击树描述了攻击者利用系统漏洞破坏各组件,对威胁目标进行攻击所经历的决策过程。建立攻击树需要考虑的几个方面:安全威胁:潜在的事件,当攻击有动机并付诸实施时,威胁转变为攻击事件。安全漏洞:系统中的弱点。资源:受威胁(或攻击)的目标。例如:对Threat#1的威胁描述表格:Threat#1的攻击树:第四步:建立缓和方案,选择适当的安全技术。接触点开发模型:根据有效性排列的接触点:代码审查(Codereview)架构风险分析(Architecturalriskanalysis)渗透测试(Penetrationtesting)基于风险的安全测试(Risk-basedsecuritytests)滥用用例(Abusecases)安全需求(Securityrequirements)安全操作(Securityoperations)1.代码审查代码审查的目标是找到bug,架构风险分析的目标是找到缺陷。在很多情况下,这两个主要的接触点的执行顺序能够交换。静态分析工具:静态分析工具在代码中查找固定的模式或规则集合。静态分析工具的输出仍然需要人为判断。错报(falsenegatives)问题,程序中含有bug但工具没有报告。误报(falsepositives)问题,工具报出的bugs程序中不存在。动态分析工具:执行程序、错误注入。二进制分析:反汇编和反编译都是攻击者最常用的黑客工具。例如:FortifySourceCodeAnalysisSuite2.架构风险分析架构风险分析的主要活动是从适当的高度建立一个目标系统的视图,避免“只见树林不见森林”,提倡一页纸的总览,“forest-level”视图。例如:在forest-level视图中主要分析以下几个方面:威胁(谁可能攻击系统)、每一层环境中的风险、每个组件和数据流中可能存在的漏洞、技术风险可能造成的商业破坏、风险被实现的可能性、任何在每一层能够实现的可行对策、考虑整个系统范围内的可用保护机制。3.渗透测试渗透测试,针对系统威胁尝试对系统进行渗透,包括:积极(正向)测试,验证软件正常执行了规定的任务;消极(负向)测试,安全测试人员必须深入研究安全风险(可能由滥用用例和体系风险驱动)以便确定系统在攻击之下如何反应。测试工具:错误注入工具。其他工具:FortifySoftware,CANVAS。攻击者的工具包。4.基于风险的安全测试此测试旨在揭示可能的软件风险和潜在攻击。实施人员:使用传统方式的标准测试组织可以执行功能安全测试;基于风险的安全测试更依赖于专门技术和经验,而不是测试经验和安全经验;教会测试专业人员学会在测试时