北京邮电大学-信息安全-02软件安全风险.pdf

软件安全测评 北京邮电大学计算机学院 信息安全系 张淼 zhangmiao@ 第二讲软件安全风险  1.软件安全风险分类 软件源代码安全分类 WEB安全分类 攻击对象分类 软件生命周期分类  2.典型安全风险介绍 本讲目标  理解软件安全到底需要解决哪些问题  了解目前软件中存在的主要问题 1.1 软件安全风险分类: Gary Mcgraw 软 件源代码安全分类 对这些安全漏洞的分类目 前有很多种，我们主要采用 McGraw提出的分类方法.将软 输入验证与表示 API误用 件代码中存在的安全漏洞分为 8类，分别是： 环境 安全特征 • 1 输入验证与表示 • 2 API误用 软件安全风险 • 3 安全特征 封装 时间与状态 • 4 时间与状态 • 5 错误处理 • 6 代码质量 代码质量 错误处理 • 7 封装 • 8 环境 软件代码安全问题分类原则--输入 验证与表示  输入验证和表示问题通常是由特殊字符、编码和数字表示 所引起的，这类安全问题的发生是对输入的信任所造成的。  一些较严重的安全问题往往都是由于对输入的信息过度信 任造成的，主要问题包括： 缓冲区溢出（Buffer • 对所分配的内存块之外的内存进行写操作会覆盖数据， Overflow） 使程序崩溃，甚至导致执行恶意代码； 命令注入（Command • 在没有指定完整路径的情况下执行命令可能使得攻击者 Injection） 可以通过改变$PATH或者其他环境变量来执行恶意代码； 跨站脚本（Cross-Site • 向浏览器发送非法的数据会使浏览器执行恶意代码,通过 Scripting ） XML编码进行身份认证也会导致浏览器执行非法代码； 输入验证与表示 格式化字符串（Format • 允许攻击者控制一个函数的格式化字符串，可能会引 String ） 起缓冲区溢出； HTTP应答截断（HTTP • 在在HTTP响应头中包含未经验证的数据将可能导致 Response Splitting） 缓存中毒、跨站脚本、跨用户攻击或者页面劫持攻击 非法指针值（Illegal • 函数可能返回指向缓冲区外边的内存，接下来对该指 Pointer Value） 针的操作有可能造成缓冲区溢出； 整数溢出（Integer • 不考虑整数溢出会造成逻辑错误或缓冲区溢出； Overflow ） • 写未验证数据到日记文件让攻击者伪造日记或注入恶 日志伪造（Log Forging） 意的内容 目录游历（Path • 允许用户通过输入来控制文件系统操作使用的路径， Traversal ） 会使攻击者有机会访问或修改被保护的系统资源； 输入验证与表示 进程控制（Process • 装载来自于非信任源或者非信任环境的库可 Control ） 能会导致应用程序执行攻击者的恶意代码； 资源注入（Resou