应用安全技术概述
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
虚拟机查杀 特征码查杀
第七章 第六节. WEB应用系统安全
第 17 页
威胁种类
注入、跨站、遭破坏的身份认证和会话、不安全的直接对象引用、伪造跨站请求、安全 配置错误、不安全的加密存储、无限制URL访问、传输层保护不足、未经验证的重定向 和转发
第七章 第六节. WEB应用系统安全 WEB安全防护
客户端安全防护 通信信道安全防护 服务器安全防护
1.错误的输入验证 2.不正确的转义输出 3.SQL注入)错误 4.跨站脚本
13.下载未经完整性检查 14.不正确的初始化 15.使用被破解的加密算法 16.滥用特权操作
漏洞
5.操作系统命令注入
6.明文传送敏感信息 7.资源竞争 8.错误信息泄露
9.缓冲区内操作失败 10.外部控制重要状态数据 11.不可信搜索路径 12.控制代码生成错误
分析软件产品可能遭受的威胁、包括技术、危 害、攻击面;
将所有的威胁进行评估分析,并按照风险值进 行排序,对风险较大的威胁重点关注;
考虑风险消减技术方案,应用于产品中,以缓 解威胁;
第8页
第七章 第二节. 软件安全开发 安全设计
实效防护
安全加密
代码重用
开放设计 原则
最小权限
最少公用 业务认可
全面防御
2 检测模糊测试数据 4 确定可利用性
第 12 页
第七章 第四节. 软、硬件安全保护
1 加密狗
1 光盘保护技术 2
2 3 专用接口卡
第 13 页
软件安全保护技术
注册信息验证技术 软件防篡改技术 代码混淆技术 软件水印技术 软件加壳技术 反调试反跟踪技术
第七章 第五节. 恶意程序 分类
恶意脚本 木马
第七章 第一节. 软件漏洞 缓冲区溢出漏洞
第4页
第七章 第一节. 软件漏洞 格式化字符串漏洞
第5页 猜猜这是啥?
第七章 第一节. 软件漏洞 软件漏洞案例
第6页
第七章 第一节. 软件漏洞 软件漏洞案例 心脏出血
第7页
第七章 第二节. 软件安全开发 建立安全威胁模型
安全模型步骤
分析软件产品的安全环境、功能作用、潜在攻 击者的关注点、攻击力度;
信息安全原理及从业人员安全素养培训
信息安全原理及从业人员安全素养
01
应用安全技术概述
第2页
Fra Baidu bibliotek
第七章 第一节. 软件漏洞
第3页
概念及分类
多年以来,在计算机软件(包括来自第三方的软件,商业的和免费的软件)中已经发现了不计其数 能够削弱安全性的缺陷(bug)。黑客利用编程中的细微错误或者上下文依赖关系,已经能够控制 Linux,让它做任何他们想让它做的事情。
第9页
第七章 第二节. 软件安全开发
第 10 页
安全编程
数据的机密性 使用验证过的加密算法;使用非对称传递会话密钥;使用会话加密机制加密传输数据;给用户最低 权限,操作结束后即时回收;
数据的完整性 检查访问路径、调用的返回代码及关键的输入参数;全面处理异常输入输出;检查竞争条件;
数据的有效性 检查环境参数;使用绝对路径;设置超时;对不同角色权限作不同限制;对IP、端口进行限制;采 用新版本的开发环境;对内存中数据的访问进行严格的检查;
第七章 第二节. 软件安全开发 安全测试
构造畸形数据
第 11 页
验证输入输出文件
全面测试异常处理
全面检测输入
测试非正常路径
采用反汇编检测敏感信息
第七章 第三节. 软件安全检测
静态安全检测技术
1 词法分析 3 污点传播分析 5 模型检验
动态安全检测技术
1 生成模糊测试数据 3 监测程序异常
2 数据流分析 4 符号执行 6 定理证明
宏病毒
单一病毒
蠕虫病毒
网站钓鱼
第 14 页
第七章 第五节. 恶意程序
第 15 页
传播方式 网站挂马、诱骗下载、移动存储介质传播、电子邮件和即时通讯软件传播、局域网传播
破坏功能 浏览器配置被修改、窃取用户隐私、远程控制、破坏系统
第七章 第五节. 恶意程序 查杀技术和防范 主动防御技术
启发式查杀
第 16 页
第 18 页
第七章 第六节. WEB应用系统安全
WEB安全检测
黑盒检测
安全检测
检测报告
第 19 页 白盒检测
第七章 第六节. WEB应用系统安全
第 17 页
威胁种类
注入、跨站、遭破坏的身份认证和会话、不安全的直接对象引用、伪造跨站请求、安全 配置错误、不安全的加密存储、无限制URL访问、传输层保护不足、未经验证的重定向 和转发
第七章 第六节. WEB应用系统安全 WEB安全防护
客户端安全防护 通信信道安全防护 服务器安全防护
1.错误的输入验证 2.不正确的转义输出 3.SQL注入)错误 4.跨站脚本
13.下载未经完整性检查 14.不正确的初始化 15.使用被破解的加密算法 16.滥用特权操作
漏洞
5.操作系统命令注入
6.明文传送敏感信息 7.资源竞争 8.错误信息泄露
9.缓冲区内操作失败 10.外部控制重要状态数据 11.不可信搜索路径 12.控制代码生成错误
分析软件产品可能遭受的威胁、包括技术、危 害、攻击面;
将所有的威胁进行评估分析,并按照风险值进 行排序,对风险较大的威胁重点关注;
考虑风险消减技术方案,应用于产品中,以缓 解威胁;
第8页
第七章 第二节. 软件安全开发 安全设计
实效防护
安全加密
代码重用
开放设计 原则
最小权限
最少公用 业务认可
全面防御
2 检测模糊测试数据 4 确定可利用性
第 12 页
第七章 第四节. 软、硬件安全保护
1 加密狗
1 光盘保护技术 2
2 3 专用接口卡
第 13 页
软件安全保护技术
注册信息验证技术 软件防篡改技术 代码混淆技术 软件水印技术 软件加壳技术 反调试反跟踪技术
第七章 第五节. 恶意程序 分类
恶意脚本 木马
第七章 第一节. 软件漏洞 缓冲区溢出漏洞
第4页
第七章 第一节. 软件漏洞 格式化字符串漏洞
第5页 猜猜这是啥?
第七章 第一节. 软件漏洞 软件漏洞案例
第6页
第七章 第一节. 软件漏洞 软件漏洞案例 心脏出血
第7页
第七章 第二节. 软件安全开发 建立安全威胁模型
安全模型步骤
分析软件产品的安全环境、功能作用、潜在攻 击者的关注点、攻击力度;
信息安全原理及从业人员安全素养培训
信息安全原理及从业人员安全素养
01
应用安全技术概述
第2页
Fra Baidu bibliotek
第七章 第一节. 软件漏洞
第3页
概念及分类
多年以来,在计算机软件(包括来自第三方的软件,商业的和免费的软件)中已经发现了不计其数 能够削弱安全性的缺陷(bug)。黑客利用编程中的细微错误或者上下文依赖关系,已经能够控制 Linux,让它做任何他们想让它做的事情。
第9页
第七章 第二节. 软件安全开发
第 10 页
安全编程
数据的机密性 使用验证过的加密算法;使用非对称传递会话密钥;使用会话加密机制加密传输数据;给用户最低 权限,操作结束后即时回收;
数据的完整性 检查访问路径、调用的返回代码及关键的输入参数;全面处理异常输入输出;检查竞争条件;
数据的有效性 检查环境参数;使用绝对路径;设置超时;对不同角色权限作不同限制;对IP、端口进行限制;采 用新版本的开发环境;对内存中数据的访问进行严格的检查;
第七章 第二节. 软件安全开发 安全测试
构造畸形数据
第 11 页
验证输入输出文件
全面测试异常处理
全面检测输入
测试非正常路径
采用反汇编检测敏感信息
第七章 第三节. 软件安全检测
静态安全检测技术
1 词法分析 3 污点传播分析 5 模型检验
动态安全检测技术
1 生成模糊测试数据 3 监测程序异常
2 数据流分析 4 符号执行 6 定理证明
宏病毒
单一病毒
蠕虫病毒
网站钓鱼
第 14 页
第七章 第五节. 恶意程序
第 15 页
传播方式 网站挂马、诱骗下载、移动存储介质传播、电子邮件和即时通讯软件传播、局域网传播
破坏功能 浏览器配置被修改、窃取用户隐私、远程控制、破坏系统
第七章 第五节. 恶意程序 查杀技术和防范 主动防御技术
启发式查杀
第 16 页
第 18 页
第七章 第六节. WEB应用系统安全
WEB安全检测
黑盒检测
安全检测
检测报告
第 19 页 白盒检测