软件安全培训课件

1、软件开发安全性设计信息工程事业部袁洋 2013.05主讲内容软件安全的概念安全漏洞风险管理框架安全开发生命周期软件安全的七个接触点软件安全的概念第一部分许多关键基础设施取决于计算机安全关于软件安全的相关报道软件安全的概念出现软件故障现象的原因是软件存在漏洞。“任何软件，不论它看起来是多么安全，其中都隐藏漏洞”。软件安全的目的是尽可能消除软件漏洞，确保软件在恶意攻击下仍然正常运行。报告给CERT/CC的与安全相关的软件弱点软件安全问题加剧的三个趋势互联性多数计算机与Internet相连多数软件系统互联于Internet可扩展性通过接受更新或者扩展件使系统升级复杂性代码行数增加、网络式、分布式Wi

2、ndows操作系统复杂性安全漏洞第二部分安全漏洞安全漏洞安全漏洞所有的软件都存在潜伏的漏洞安全必须经过长时间实际运行证明软件安全漏洞可分为两大类：设计漏洞实现漏洞设计漏洞示例Microsoft Bob是作为Windows ME和Windows 98的辅助程序而设计的，其中包含一个设置系统密码的工具。当用户试着输了三次（不正确）密码时，Bob将弹出如下的信息：“我想你忘记了你的密码，请输入一个新的密码。”然后，就允许用户修改密码，即使不知道老密码。常见的安全设计问题密码技术使用的败笔创建自己的密码技术选用了不当的密码技术依赖隐蔽式安全编写到程序中的密钥错误的处理私密信息对用户及其许可权限进行跟踪

3、会话管理薄弱或缺失身份鉴别薄弱或缺失授权薄弱或缺失常见的安全设计问题有缺陷的输入验证未在安全上下文环境中执行验证验证例程不集中不安全的组件边界薄弱的结构性安全大的攻击面在过高权限级别上运行进程没有纵深防御失效时处理不安全常见的安全设计问题其他代码和数据混在一起错将信任寄予外部环境不安全的默认值未作审计日志实现漏洞示例2001年的红色代码（Code Red）蠕虫利用Microsoft的IIS Web服务器的软件缺陷。字符串变量是Unicode字符类型的（每个字符占用两个字节），在计算缓冲区的时候应该是偏移量为2，但IIS在计算缓冲区大小的时候却按照偏移量为1错误的计算缓冲区。导致在14个小时内，

4、就有359000台机器感染了红色代码蠕虫。几个常见致命安全漏洞缓冲区溢出SQL注入跨站脚本缓冲区溢出当一个程序允许输入的数据大于已分配的缓冲区大小时，缓冲区溢出就会发生。有些语言具有直接访问应用程序内存的能力，如果未能处理好用户的数据就会造成缓冲区溢出。C和C+是受缓冲区溢出影响的两种最常见的编程语言。缓冲区溢出造成的后果小到系统崩溃，大到攻击者获取应用程序的完全控制权。1988年，第一个Internet蠕虫Morris蠕虫就是对finger服务器攻击，造成缓冲区溢出，几乎导致Internet瘫痪。SQL注入通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务

5、器执行恶意的SQL命令。任何可以与数据库交互的编程语言都可能出现SQL注入漏洞。SQL注入的最大的威胁是攻击者可以获得隐私的个人信息或者敏感数据；也可能导致服务器甚至网络的入侵。SQL注入public static boolean doQuery(String Id) try Statement st=.; ResultSet rs=st.executeQuery(“SELECT conum FROM cust WHERE id=”+Id); while(rs.next() . catch 如果传递来的参数是“1 or 21 -”，则执行SQL语句： SELECT conum FROM cus

6、t WHERE id=1 or 21 -跨站脚本跨站脚本（XSS，Cross-site Scripting）漏洞是一类专门针对Web应用程序的漏洞，它会使得产生漏洞的Web服务器绑定的用户数据（通常保存在cookie中）被泄露给恶意的第三方。所谓“跨站”是指；当一个客户端访问了可正常提供服务但是有漏洞的Web服务器后，cookie从此客户端传递给了攻击者控制的站点。任何用于构建网站的编程语言或者技术都可能受到影响。跨站脚本跨站脚本 . Employee ID: XSS测试语句之一： alert(document.cookie)其他致命安全漏洞格式化字符串整数溢出命令注入未能处理错误信息未能保护

7、好网络流量使用Magic UPL及隐藏表单字段未能正确使用SSL和TLS使用基于弱口令的系统未能安全的存储和保存数据信息泄露不恰当的文件访问清新网络域名解析竞争条件未认证的密钥交换密码学强度随机数不良可用性解决软件安全的方法Gary McGraw博士应用风险管理软件安全的接触点（最优化方法）知识微软：可重复的流程工程师教育度量标准和可测量性 风险管理框架“安全就是风险管理”。风险就是在项目过程中有可能发生的某些意外事情。例如：缺少对开发工具的培训。风险管理的关键：随着软件项目的展开，不断的确定和追踪风险。RMF的基本思想：随时间变化，对软件安全进行确定、评级、追踪和理解。Cigital的风险管

8、理框架（RMF） 测量和报告理解商业环境1 确定商业和技术风险工件分析2综合考虑并对风险分析3实施修复并进行验证5定义降低风险的策略4某软件项目的风险管理计划项目风险管理计划风险识别风险评估风险应对措施潜在风险后果可能性严重性应急措施预防措施客户的需求不明确客户不接受产品或拒绝付款59按照客户的要求修改事先进行需求评审项目范围定义不清楚项目没完没了89按照客户要求变更事先定义清楚并由客户确认项目目标不明确项目进度拖延或成本超支68修改项目目标实现明确项目目标与客户沟通不够软件不能满足客户需求59立即与客户进行沟通制定沟通管理计划微软：可信赖计算安全开发生命周期SDLC 微软安全培训启动安全并注

9、册SWI安全设计最优方法安全体系结构和攻击面审核 威胁 建模使用安全开发工具和最优开发和测试方法为产品创建安全文档和工具预备安全反应计划安全推动渗透测试最终安全审核安全服务和反应执行需求设计实现验证发行支持和服务Gary McGraw：软件安全接触点（最优化方法）需求和使用案例体系结构和设计测试计划代码测试和测试结果从应用领域的反馈滥用案例安全需求风险分析基于风险的安全测试代码审核（工具）风险分析渗透测试安全操作利用工具进行代码审核 需求和使用案例体系结构和设计测试计划代码测试和测试结果从应用领域的反馈滥用案例安全需求风险分析基于风险的安全测试代码审核（工具）风险分析渗透测试安全操作代码审核所

10、有的软件项目有一个共同的工件源代码。大量的安全问题都是由可以在代码中发现的简单缺陷引起的，例如缓冲区溢出漏洞与SQL注入漏洞。代码审核就是为了查找和修复存在于源代码中的缺陷。代码审核可以手工审核或者使用静态分析工具进行审核。静态分析工具审核速度快，并不需要操作人员具有丰富的安全专业知识。25个最危险的编程错误 组件间不安全的交互：这些缺陷与数据在单独的组件、模块、程序、进程、线程或系统之间不安全发送和接受方法有关。CWE-20：不适当的输入验证 ；CWE-116：不正确的编码或输出转义； CWE-89：SQL查询结构保护失败(又名“ SQL注入”) ；CWE-79：网页结构保护失败(又名“跨站

11、脚本攻击”) ；CWE-78：操作系统命令结构保护失败；CWE-319：明文传输的敏感信息； CWE-352：伪造跨站请求(CSRF)； CWE-362：竞争条件 ；CWE-209：错误消息的信息泄漏； 25个最危险的编程错误危险的资源管理：此类缺陷与软件没有妥善管理创造、使用、转让或取消重要的系统资源有关。CWE-119：对内存缓冲区边界操作限制失败 ；CWE-642：外部控制的临界状态数据；CWE-73：外部控制的文件名或路径 ；CWE-426：不可信的搜索路径； CWE-94：代码生成控制失败(又名“代码注入” ) ；CWE-494：下载的代码未进行完整性检查 ；CWE-404：资源关闭

12、或释放不正确； CWE-665：不正确的初始化； CWE-682：不正确的运算(如出现整数溢出等错误)。 25个最危险的编程错误可穿透的防范措施：这一类缺点与防御技术的经常误用、滥用，或彻底忽略有关。CWE-285：不正确的访问控制(授权) ；CWE-327：使用一个被攻破的或危险的加密算法 ；CWE-259：硬编码的密码 ；CWE-732：对关键资源的使用权限不安全的分配 ；CWE-330：使用不够有效的随机值 ；CWE-250：给予没有必要的权限；CWE-602：服务器端的安全由客户端实施。 FortifyFortify SCA是发现软件安全漏洞隐患最全面和分析最完整的产品。它使用特有的成

13、熟的五大软件安全分析引擎、最全面最广泛的软件安全代码规则集和fortify公司特有的X-Tier Dataflow analysis技术去检测软件安全问题。Fortify专门的分析器 数据流分析器语义分析器控制流分析器配置流分析器结构分析器静态分析工具FindBugs 有了静态分析工具，就可以在不实际运行程序的情况对软件进行分析。FindBugs 是一个静态分析工具，它检查类或者 JAR 文件，将字节码与一组缺陷模式进行对比以发现可能的问题。FindBugs 的 缺陷清单及说明。Findbugs eclipse插件使用指南 其他源代码分析工具CoverityOunce LabsSecure s

14、oftware体系结构风险分析 需求和使用案例体系结构和设计测试计划代码测试和测试结果从应用领域的反馈滥用案例安全需求风险分析基于风险的安全测试代码审核（工具）风险分析渗透测试安全操作体系结构风险分析50%的软件安全问题是有设计瑕疵引起的。因此需要对设计和说明书进行审核分析。设计人员、架构人员和分析人员应该用文档清晰的记录各种前提假设，并确定可能的攻击。安全分析人员揭示体系结构瑕疵，对它们评级，并开始进行降低风险的活动。Cigital采用的体系结构风险分析的简单过程图文档攻击图攻击模式安全的设计文献进行攻击抵抗力分析进行不确定性分析进行底层框架弱点分析文档需求体系结构文档规则性需求/ 工业标准

15、文档外部资源邮件清单产品文档攻击模式确定一般瑕疵非编译显示何处没 有遵循方针映射可实施的攻击模式显示体系结构中的风险和驱动程序显示对类似技术的已知攻击的生存能力考虑设计含义产生单独的体系结构图文档统一的理解揭示不确定性确定下游的 困难度解开缠绕揭示糟糕的 可追逐性在下列位置查找和分析瑕疵COTS框架网络拓扑平台确定应用程序使用的服务将弱点映射到应用程序所做的假设上文档软件瑕疵体系结构风险评估报告编写长度为一页的体系结构概述 输入 活动 输出微软：STRIDE攻击模型Spoofing identity（欺骗） Tampering with data （篡改）Repudiation （抵赖）Inf

16、ormation disclosure （信息泄露）Denial of service （拒绝服务）Elevation of privilege （特权提升）49种攻击模式使客户端不可见把写入专用OS资源的程序作为目标利用用户提供的配置文件运行提高权限的命令利用配置文件的搜索路径直接访问可执行文件在脚本内嵌入脚本充分利用不可执行文件中的可执行代码参数注入命令分隔符多个解析器和双重换码把用户提供的变量传递给文件系统调用后缀NULL终止符49种攻击模式后缀、NULL终止符和反斜线在相对路径间来回移动客户端控制的环境变量用户提供的全局变量会话ID、资源ID和保密委托模拟波段内的切换信号攻击模式片段：

17、操作终端设备简单的脚本注入在非脚本元素种嵌入脚本HTTP头中的XSSHTTP查询字符串用户控制的文件名49种攻击模式将本地文件名传入到参数为URL的函数中电子邮件头中的元字符文件系统函数注入，基于内容客户端注入，缓冲区溢出导致Web服务器错误分类前导幽灵字符的交替编码在交替编码中使用斜线在交替编码种使用转义斜线Unicode编码UTF-8编码URL编码可替换的IP地址49种攻击模式斜线和URL编码组合在一起Web日志记录使二进制资源文件溢出使变量和标记溢出使符号连接溢出MIME转换HTTP Cookie通过缓冲区溢出来过滤错误用环境变量来使缓冲区溢出在API调用中的缓冲区溢出本地命令行工具中的

18、缓冲区溢出参数扩展Syslog()中的字符串格式溢出Microsoft的威胁建模软件安全最大的原因就在于软件使用输入外部数据流网络I/O远程过程调用（RFC）外部系统查询文件I/O注册表命名管道，互斥、共享内存，每一个操作系统对象Windows消息其他的操作系统调用Microsoft的威胁建模威胁建模识别威胁路径识别威胁识别漏洞将漏洞分级/排定优先级Microsoft的威胁建模识别威胁路径识别最高风险领域，并确定相应的保护措施确定用户访问类别基于数据流图进行威胁分析构造威胁路径表风险访问类别非常高匿名的远程用户高经身份鉴别的远程用户，且具有文件操纵能力中经身份鉴别的远程用户低本地用户，且具有执

19、行权限非常低本地管理用户用户访问分类示例即时消息（IM）程序服务器数据流图IM用户1IM用户2验证身份信息/ 身份鉴别帐号管理IM聊天引擎身份证明信息身份证明信息确认确认注册注册客户帐号信息客户帐号信息启动信任信息聊天请求用户信息聊天日志具有信任边界的IM数据流图IM用户1IM用户2验证身份信息/ 身份鉴别帐号管理IM聊天引擎身份证明信息身份证明信息确认确认注册注册客户帐号信息客户帐号信息启动信任信息聊天请求用户信息聊天日志1432Microsoft的威胁建模识别威胁对于每一条威胁路径，需要逐一理清与处理相关的每一种威胁。高风险活动 数据解析、文件访问、数据库访问 生成子进程、身份鉴别、授权

20、同步或会话管理、处理私密数据 网络访问Microsoft的威胁建模识别漏洞清楚了高风险组件所面临的威胁之后，下一步就是找出可能存在于这些组件中的实际漏洞。如果设计人员未能构建一些安全特性来缓解威胁，威胁就会变成一种漏洞。漏洞搜寻：详细的安全设计审查、安全代码审查、安全测试Microsoft的威胁建模将漏洞分级/排定优先级使用DREAD模型适用于分出威胁的严重程度级别的一种有效技术。DREAD代表：潜在的破坏（Damage potential）再现性（Reproducibility）可利用性（Exploitability）受影响的用户（Affected users）可发现性（Discoverab

21、ility）软件渗透测试 需求和使用案例体系结构和设计测试计划代码测试和测试结果从应用领域的反馈滥用案例安全需求风险分析基于风险的安全测试代码审核（工具）风险分析渗透测试安全操作渗透测试（Penetration Testing）为保证软件应用程序实现其商业功能需求，通常在软件生命周期运行一系列的动态功能测。传统的测试着重强调特性和功能，但安全并不是一种或一组特性，所以动态功能测试不适合直接用于安全测试。安全测试的核心就是使用白帽和黑帽的概念和方法：保证软件的安全特性像宣传的那样有效，并且保证有意的攻击也不能轻易的危及系统的安全。渗透测试（Penetration Testing）渗透测试是一种“

22、反向测试”，即安全测试人员直接和深入的探测安全风险以确定系统在遭受攻击时的表现。 渗透测试需要以攻击者的角度来思考问题，属于典型的黑盒测试。渗透测试就是利用所有的手段进行测试，发现和挖掘系统中存在的漏洞，然后撰写渗透测试报告，将其提供给客户；客户根据渗透人员提供的渗透测试报 告对系统存在漏洞和问题的地方进行修复和修补。渗透测试最适合于发掘配置问题和其他对软件安全影响较大的环境因素。渗透测试工具基于网站的渗透功能：网站漏洞扫描、cookie注入等工具：IBM Rational AppScan、Php Bug Scanner 基于系统的渗透功能：系统端口或漏洞扫描等工具：nmap、X-Scan、溯

23、雪 基于数据库的渗透功能：SQL注入、数据库弱口令扫描工具：DSQLTools 、mysqlweak 缓冲区溢出漏洞利用工具 功能：导致系统缓冲区溢出工具：sql2 、aspcode 基于风险的安全测试 需求和使用案例体系结构和设计测试计划代码测试和测试结果从应用领域的反馈滥用案例安全需求风险分析基于风险的安全测试代码审核（工具）风险分析渗透测试安全操作基于风险的安全测试风险分析，特别是在设计级中，可以帮助我们确定潜在的设计级安全问题和它们的影响。一旦风险被确定并进行了评级，就有助于指导软件安全测试。滥用案例 需求和使用案例体系结构和设计测试计划代码测试和测试结果从应用领域的反馈滥用案例安全需

24、求风险分析基于风险的安全测试代码审核（工具）风险分析渗透测试安全操作滥用案例软件开发人员倾向于根据系统在一切条件满足的情况下的表现来描述软件需求，这将导致以正确的使用为前提而描述系统的规范行为。如果系统会被有意滥用，为了开发出安全、可靠的软件，就必须设法预测异常行为。滥用案例例如：对于一个工资支付系统，可能有这样的用例“系统允许HR管理部门的用户查看和修改所有员工的工资”、“系统只允许基本用户查看自己的工资”。但是对于潜在攻击者，可能会试图获取工资支付系统中的特别权限，以删除所有欺诈交易的证据；或者攻击者设法将工资支付推迟几天以挪用由推迟产生的利息。因此，为开发安全的软件，需要像坏攻击者一样思

25、考问题。滥用案例 如何创建提出一些假设，说明可能出现的问题。仔细考虑负面和意外的事件。向攻击者一样地考虑问题。攻击者：企图使软件以某种不可预料的方式运行，以从中获益。攻击时经常探测的地方：边界条件、边缘、系统之间的通信，以及系统前提假设。聪明的攻击者经常设法破坏建造系统的前提假设。滥用案例的目标之一：软件应该如何对非法使用做出反应。建造滥用案例的简单过程图文档需求使用案例攻击模式可交付文档攻击模型 威胁 攻击模式已评级的误用和滥用案例 输入 活动 输出安全分析人员需求分析人员确定威胁文档威胁审核威胁创建反需求创建攻击模型审核反需求审核攻击模型创建误用案例分析和评级误用和滥用案例审核已评级的误用和滥用案例安全需求 需求和使用案例体系结构和设计测试计划代码测试和测试结果从应用领域的反馈滥用案例安全需求风险分析基于风险的安全测试代码审核（工具）风险分析渗透测试安全操作软件安全与安全操作相结合 需求和使用案例体系结构和设计测试计划代码测试和测试结果从应用领域的反馈滥用案例安全需求风险分析基于风险的安全测试代码审核（工具）风险分析渗透测试安全操作软件安全与安全操作相结合需求：滥用案例设计：商业风险分析设计：体系结构风险分析测试计划：安全测试实现：代码审核系统测试：渗透测试实际部署系统：配置和操作可信赖计算安全开发生命周期 微软安全培训启动安全并