軟件安全期末論文

1、軟件安全期末論文軟件安全開(kāi)發(fā) 一、軟件安全發(fā)展概述1 .軟件安全開(kāi)發(fā)背景第一次“軟件危機(jī)”XXXX時(shí)代，根源:匯編語(yǔ)言無(wú)法處理日益龐大和復(fù)雜的程序，解決:高級(jí)語(yǔ)言 FORTRAN 和 C 的誕生；第二次“軟件危機(jī)”XXXX時(shí)代，根源:大程序，百萬(wàn)行，百萬(wàn)人同時(shí)開(kāi)發(fā)，解決:1。面向?qū)ο笳Z(yǔ)言 c+/Java/c#； 2.軟件工程；第三次 “軟件危機(jī) ” 21 世紀(jì)的第一個(gè)十年，根本原因 :軟件安全。軟件應(yīng)用非常廣泛:電腦游戲、火車票售票系統(tǒng)、多媒體教學(xué)、手機(jī)、航天飛機(jī)、人造衛(wèi)星、 、 、 、軟件安全問(wèn)題普遍存在:操作錯(cuò)誤、響應(yīng)緩慢、票務(wù)系統(tǒng)斷開(kāi)或崩潰、多媒體教學(xué)系統(tǒng)崩潰、黑客竊取用戶銀行密碼、軟件

2、安全問(wèn)題造成的一般后果:產(chǎn)品運(yùn)行不穩(wěn)定、無(wú)法獲得正確結(jié)果甚至崩潰、惡意攻擊、導(dǎo)致信息泄露/數(shù)據(jù)破壞等。軟件安全問(wèn)題造成的嚴(yán)重后果:票務(wù)系統(tǒng)故障、美國(guó)放射治療設(shè)備的超劑量輻射事件、 阿麗亞娜 5 號(hào)火箭發(fā)射失敗、 伊朗布什爾核電廠受斯圖克網(wǎng)病毒攻擊。造成軟件安全問(wèn)題的原因有很多 :軟件開(kāi)發(fā)周期短，工作量大，沒(méi)有時(shí)間考慮安全問(wèn)題； 軟件設(shè)計(jì)中缺乏安全設(shè)計(jì)； 軟件開(kāi)發(fā)人員缺乏安全編程的經(jīng)驗(yàn)；功能越來(lái)越多，情況越來(lái)越復(fù)雜；軟件模塊復(fù)用，高可擴(kuò)展性 /靈活性要求；互聯(lián)網(wǎng)環(huán)境中的安全挑戰(zhàn)?？偨Y(jié)可以歸納為兩點(diǎn) :漏洞和威脅。漏洞已成為危及軟件安全的主要因素， 危及用戶對(duì)軟件和業(yè)務(wù)運(yùn)營(yíng)以及一些關(guān)鍵基礎(chǔ)設(shè)施和應(yīng)

3、用程序的信任。漏洞是常見(jiàn)的。普通軟件工程師每千行代碼有 20 個(gè)缺陷。雖然采用了嚴(yán)格的軟件開(kāi)發(fā)質(zhì)量管理機(jī)制和多次測(cè)試， 但軟件公司的缺陷率仍然很高。 其中， 普通軟件開(kāi)發(fā)公司的缺陷密度為 4-40， 高級(jí)軟件開(kāi)發(fā)公司的缺陷密度為 2-4，美國(guó)宇航局的缺陷密度為 0.1。2 .軟件安全發(fā)展簡(jiǎn)介所謂的安全軟件是指不存在安全漏洞， 能夠抵御各種攻擊威脅并按預(yù)期執(zhí)行。 軟件安全開(kāi)發(fā)是指在軟件開(kāi)發(fā)生命周期的所有階段采取必要和適當(dāng)?shù)陌踩胧﹣?lái)避免絕大多數(shù)安全漏洞。 采取措施防止設(shè)計(jì)、 開(kāi)發(fā)、提交、升級(jí)或維護(hù)中的缺陷造成系統(tǒng)漏洞。軟件安全開(kāi)發(fā)需要提前進(jìn)行安全干預(yù)， 軟件發(fā)布后的修復(fù)成本是軟件設(shè)計(jì)和編碼階段修

4、復(fù)成本的 30 倍。此外，軟件發(fā)布后修復(fù)對(duì)軟件用戶造成的損失是巨大的， 因此存在軟件安全開(kāi)發(fā)， 即安全的軟件開(kāi)發(fā)生命周期 :包括安全設(shè)計(jì)原則、安全開(kāi)發(fā)方法、最佳實(shí)踐和安全專家經(jīng)驗(yàn)。此外，還提出了一些安全開(kāi)發(fā)模型，包括微軟提出的可信計(jì)算安全開(kāi)發(fā)生命周期，加里麥格勞等人提出的BSI系列模型，SAMM和OWASP提出的CLASP模型。信任價(jià)值計(jì)算安全開(kāi)發(fā)生命周期是一個(gè)安全保證過(guò)程， 它在開(kāi)發(fā)過(guò)程的所有階段引入了安全和隱私原則，總共有 5+2 個(gè)階段和 16 個(gè)必要的安全活動(dòng)。它不需要改變現(xiàn)有的軟件建筑安全使安全成為軟件開(kāi)發(fā)的重要部分。開(kāi)發(fā)方法，適用于各種軟件開(kāi)發(fā)生命周期。SAMM（ 軟件保證成熟度模

5、型） ，是一個(gè)軟件保證成熟度模型，是一個(gè)開(kāi)放的框架， 用于幫助制定和實(shí)施針對(duì)軟件安全特定風(fēng)險(xiǎn)的策略。 它定義了軟件開(kāi)發(fā)過(guò)程中的四個(gè)核心業(yè)務(wù)功能:治理、構(gòu)建、驗(yàn)證和部署。綜合輕量級(jí)應(yīng)用程序安全過(guò)程，一個(gè)綜合輕量級(jí)應(yīng)用程序安全過(guò)程，選擇 30 個(gè)特定的基于角色的活動(dòng)來(lái)增強(qiáng)整個(gè)開(kāi)發(fā)團(tuán)隊(duì)的安全意識(shí)，并為這些活動(dòng)提供相應(yīng)的指導(dǎo)方針、指導(dǎo)方針和清單。二、軟件安全開(kāi)發(fā)的關(guān)鍵工作1.軟件安全設(shè)計(jì)在這個(gè)環(huán)節(jié)中， 我們應(yīng)該理解軟件安全設(shè)計(jì)的重要性， 理解軟件安全設(shè)計(jì)的基本原則，理解攻擊面的概念和減少攻擊面的常用保護(hù)措施，理解威脅建模的概念和目的，理解威脅建模的關(guān)鍵因素和功能。在傳統(tǒng)方法中，軟件在發(fā)布后進(jìn)行測(cè)試，等

6、待修復(fù)錯(cuò)誤。一些研究表明，50%的安全問(wèn)題是由設(shè)計(jì)缺陷引起的，因此安全干預(yù)是先進(jìn)的，效益高，成本低。所謂的設(shè)計(jì)缺陷， 如明文存儲(chǔ)密碼， 甚至將密碼交給客戶進(jìn)行對(duì)比驗(yàn)證，都會(huì)給系統(tǒng)帶來(lái)嚴(yán)重的威脅。安全設(shè)計(jì)的目標(biāo)是制定項(xiàng)目計(jì)劃以定義安全行為，制定安全檢查點(diǎn)以確保安全控制措施的質(zhì)量，并確定配置過(guò)程和變更控制過(guò)程。安全設(shè)計(jì)的主要設(shè)計(jì)內(nèi)容包括確定訪問(wèn)控制機(jī)制、定義主要角色和權(quán)解決敏感數(shù)據(jù)處理問(wèn)題、評(píng)估內(nèi)部通信機(jī)制、確定完整性機(jī)制、安全設(shè)計(jì)的安全設(shè)計(jì)原則包括保護(hù)最薄弱環(huán)節(jié)、 縱深防御、 最小特權(quán)、最小共享、權(quán)限分離、經(jīng)濟(jì)、保護(hù)隱私、正確理解 “秘密 ” 、安全錯(cuò)誤處理、心理接受等原則。攻擊面是指可以對(duì)軟件

7、系統(tǒng)采取的攻擊方法的集合。 可攻擊的表面包括函數(shù)、 API 、接口、資源、數(shù)據(jù)存儲(chǔ)等。軟件的攻擊面越大，安全風(fēng)險(xiǎn)就越大。因此，減少攻擊面對(duì)提高軟件安全性非常重要。為了減少攻擊面， 第一步是分析產(chǎn)品功能的重要性， 即這個(gè)功能是否必要； 第二步是分析從哪里訪問(wèn)這些功能； 第三步是采取合理的措施，比如降低權(quán)威。威脅建模是以結(jié)構(gòu)化的方式識(shí)別和評(píng)估應(yīng)用系統(tǒng)面臨的威脅。 目的是在設(shè)計(jì)階段幫助全面了解各種安全威脅， 并指導(dǎo)選擇適當(dāng)?shù)膶?duì)策。 管理可能的風(fēng)險(xiǎn)；它的架構(gòu)可以重新驗(yàn)證。威脅建模過(guò)程:確定建模對(duì)象；識(shí)別威脅；評(píng)估威脅；消除威脅。建模對(duì)象包括應(yīng)用程序可信邊界內(nèi)和邊界外的所有功能組件應(yīng)用最實(shí)用的部分。 識(shí)

8、別威脅包括發(fā)現(xiàn)組件或流程中存在的威脅， 但威脅不是漏洞。 評(píng)估威脅包括判斷攻擊的概率、 攻擊的后果和計(jì)算風(fēng)險(xiǎn)。 消除威脅包括重新設(shè)計(jì)和消除這種威脅， 使用標(biāo)準(zhǔn)的威脅緩解技術(shù)，發(fā)明新的緩解方法，根據(jù)安全漏洞標(biāo)準(zhǔn)確定風(fēng)險(xiǎn)是否可接受，將威脅記錄為漏洞，然后尋找解決方法。常見(jiàn)威脅的例子包括:1 。欺騙是指模仿其他人或?qū)嶓w，例如假裝成； 2.篡改，即修改數(shù)據(jù)或代碼，如修改動(dòng)態(tài)鏈接庫(kù)；硬盤、 DVD 或網(wǎng)絡(luò)數(shù)據(jù)包；3.否認(rèn)，即聲稱沒(méi)有采取任何行動(dòng)；4.信息披露是指向無(wú)權(quán)知道的人披露信息， 如允許他人閱讀windows 源代碼和發(fā)布網(wǎng)站用戶名單；5.拒絕服務(wù)，即拒絕向用戶提供服務(wù)，例如導(dǎo)致窗口或網(wǎng)站崩潰，

9、發(fā)送數(shù)據(jù)包并耗盡處理器時(shí)間， 將數(shù)據(jù)包路由到黑洞；6.權(quán)限提升意味著獲得未經(jīng)授權(quán)的訪問(wèn)，例如，允許遠(yuǎn)程互聯(lián)網(wǎng)用戶執(zhí)行命令，并允許受限用戶獲得管理員權(quán)限。威脅緩解的例子包括:1。對(duì)于假威脅，驗(yàn)證方法，如 Cookie 驗(yàn)證、KerBeros驗(yàn)證、PKI等。2.針對(duì)篡改威脅，采取了哈希函數(shù)、消息認(rèn)證碼、數(shù)字簽名和防篡改協(xié)議等措施來(lái)降低篡改威脅。 3.為了應(yīng)對(duì)拒絕的威脅，采取了強(qiáng)認(rèn)證、安全審計(jì)、數(shù)字簽名、時(shí)間戳等措施來(lái)減少拒絕。 4.為了應(yīng)對(duì)信息泄露的威脅，采取了加密、秘密保護(hù)、訪問(wèn)控制、不保守秘密和隱私保護(hù)協(xié)議等措施來(lái)降低威脅。5.采取認(rèn)證、訪問(wèn)控制、過(guò)濾、流量控制和授權(quán)等措施，減少拒絕服務(wù)的威脅

10、； 6.針對(duì)特權(quán)提升的威脅，采取了建立訪問(wèn)控制列表和最小特權(quán)操作等措施來(lái)減少特權(quán)提升。2.軟件安全編碼軟件安全編碼屬于軟件安全發(fā)展的關(guān)鍵階段。 在這里， 我們首先了解一般的安全編程準(zhǔn)則，包括驗(yàn)證輸入、避免緩存溢出、 程序內(nèi)部安全、安全調(diào)用組件、程序編譯等概念。了解編碼時(shí)不允許使用的功能，了解相關(guān)的安全編碼標(biāo)準(zhǔn)和建議。了解常見(jiàn)的代碼安全問(wèn)題和處理方法。理解代碼審查的目的。了解常見(jiàn)的源代碼靜態(tài)分析工具。驗(yàn)證輸入是安全程序的第一道防線。 我們需要檢查、 驗(yàn)證或過(guò)濾輸入，以防止惡意數(shù)據(jù)進(jìn)入程序進(jìn)行后續(xù)處理， 類似于網(wǎng)絡(luò)中的防火墻。 數(shù)據(jù)檢查應(yīng)在最初接收數(shù)據(jù)時(shí)設(shè)置。最常見(jiàn)的輸入，即輸入源，包括1。命令行

11、，檢查參數(shù)的數(shù)量、數(shù)據(jù)格式和內(nèi)容；2、環(huán)境變量，環(huán)境變量可能超出預(yù)期，一些環(huán)境變量的存儲(chǔ)格式可能有危險(xiǎn)；3.文件，包括由不受信任的用戶控制的臨時(shí)文件，這些文件可以容納，但不可信任； 4、網(wǎng)絡(luò)，來(lái)自網(wǎng)絡(luò)的數(shù)據(jù)是高度不可靠的；5，還包括一些其他來(lái)源。常見(jiàn)數(shù)據(jù)類型， 1。字符串，確定合法范圍，拒絕非法字符（字符串 ），識(shí)別特定字符， 使用強(qiáng)類型， 過(guò)濾單引號(hào)、 雙引號(hào)、 反斜杠和空字符，過(guò)濾字符串，如 “選擇 ”、 “插入 ”、 “更新 ”、 “關(guān)閉 ”、 “刪除 ”和 “刪除 ” 。對(duì)于數(shù)字類型的字段，許多程序員會(huì)寫(xiě) “從 id= 的測(cè)試中選擇” 。因?yàn)樽兞坎皇怯脝我?hào)括起來(lái)的，所以會(huì)發(fā)生 sql

12、_inject 攻擊，所以程序員應(yīng)該過(guò)濾用戶提交的所有變量，將其放入sql 語(yǔ)句中。2 、數(shù)字，確定合法范圍，大數(shù)溢出為負(fù)數(shù)；3.文件名。最好不要讓用戶自己設(shè)置文件名，并避免使用特殊字符，如。 、 /、 - rf、 。 /、 com1 等。 4. 電子郵件地址。使用正則表達(dá)式來(lái)限制合法表達(dá)式電子郵件地址； 5.網(wǎng)址 /URI ，檢查它是否是非法的地址形式，以防止惡意內(nèi)容被添加到合法地址之后。緩沖區(qū)溢出是指計(jì)算機(jī)內(nèi)存中包含相同數(shù)據(jù)類型實(shí)例的連續(xù)塊； 溢出意味著數(shù)據(jù)被添加到分配給緩沖區(qū)的內(nèi)存塊中。緩沖區(qū)溢出是一個(gè)常見(jiàn)且非常嚴(yán)重的問(wèn)題。 如果發(fā)生溢出， 攻擊者可攻擊者也可以設(shè)計(jì)在溢出后執(zhí)行 的代碼，

13、從而實(shí)現(xiàn)他們自己的目標(biāo)。溢出是由于C/C+語(yǔ)言的特點(diǎn)造成的。大量庫(kù)函數(shù)溢出，如strcpy、 strcat、 get 等。 ，而其他許多語(yǔ)言都稱之為 C 語(yǔ)言庫(kù)。緩沖區(qū)溢出的解決方案是什么？1.填充數(shù)據(jù)時(shí)計(jì)算邊界，如動(dòng)態(tài)分配內(nèi)存、控制輸入等。2.使用沒(méi)有緩沖區(qū)溢出問(wèn)題的函數(shù)，如strncpy、strncat等。3.使用替代庫(kù)，如Libmib、libsafe等。4.基于探測(cè)方法的 防御，例如StackGuard ProPolice和/GS,在返回地址前插入一個(gè) 探 測(cè) ”值；5.非執(zhí)行堆棧防御，即代碼不能在堆棧上執(zhí)行。程序內(nèi)部安全包括程序內(nèi)部接口安全、安全故障、最小化反饋、避免拒絕服務(wù)攻擊、避免

14、競(jìng)爭(zhēng)條件和臨時(shí)文件的安全使用。程序內(nèi)部接口的安全性是指對(duì)程序內(nèi)部接口數(shù)據(jù)的檢查。 安全失敗意味著檢測(cè)異常、 安全處理各種可能的操作路徑， 當(dāng)檢測(cè)到某些錯(cuò)誤行為 /數(shù)據(jù)時(shí)，必須以適當(dāng)?shù)姆绞教幚?，以確保程序的安全運(yùn)行、必要時(shí)立即拒絕服務(wù)，甚至不返回詳細(xì)的錯(cuò)誤代碼。盡量減少反饋，也就是說(shuō)， 避免給不可靠的用戶提供太多的信息。 認(rèn)證程序應(yīng)該在認(rèn)證之前給出盡可能少的信息。如果程序接受密碼，不要返回。避免拒絕服務(wù)攻擊，即盡快返回輸入錯(cuò)誤、設(shè)置超時(shí)、延遲服務(wù)等。避免競(jìng)爭(zhēng)條件， 即對(duì)共享資源（文件 /變量） 的訪問(wèn)沒(méi)有得到適當(dāng)控制，使用原子操作，使用鎖操作- 避免死鎖；臨時(shí)文件的安全使用，當(dāng)訪問(wèn)已知文件名或推

15、測(cè)性臨時(shí)文件時(shí)，會(huì)出現(xiàn)許多安全漏洞。其他組件的安全調(diào)用意味著應(yīng)用程序?qū)嶋H上不是獨(dú)立的， 它們通常調(diào) 用其他組件，如底層操作系統(tǒng)、數(shù)據(jù)庫(kù)、可重用庫(kù)、網(wǎng)絡(luò)服務(wù)等。其組件的安全調(diào)用包括僅以安全的方式使用安全組件， 例如檢查組件文檔、搜索相關(guān)說(shuō)明、使用批準(zhǔn)的組件、盡可能不調(diào)用外部命令，以及必要時(shí)嚴(yán)格檢查參數(shù)。 為了正確處理返回值， 有必要檢查返回值并確定調(diào)用是否成功。成功后， 檢查數(shù)據(jù)是否按照預(yù)期值進(jìn)行處理。數(shù)據(jù)可能包含空字符、無(wú)效字符或其他可能導(dǎo)致問(wèn)題的內(nèi)容。失敗時(shí)，檢查錯(cuò)誤代碼。 保護(hù)應(yīng)用程序和組件之間傳遞的數(shù)據(jù)， 并考慮傳輸加密，包括加密算法和安全協(xié)議。在程序的編寫(xiě)和編譯階段，必須遵守以下條約

16、:使用最新版本的編譯器和支持工具； 使用編譯器內(nèi)置的防御功能； 減少可以利用的潛在編碼結(jié)構(gòu)和設(shè)計(jì)；保護(hù)機(jī)密，及時(shí)清除密碼、密鑰等敏感數(shù)據(jù)；該程序只實(shí)現(xiàn)您設(shè)置的功能。不要相信用戶的輸入；必須考慮和處理事故。使用安全代碼檢查核對(duì)表。對(duì)于WEB應(yīng)用程序，應(yīng)特別注意以下安全威脅。1.SQL注入。注射問(wèn)題的解決方案是不信任用戶的輸入。 所有輸入都是危險(xiǎn)的。 為了驗(yàn)證用戶的輸入，轉(zhuǎn)義所有用戶輸入，參數(shù)化查詢，使用存儲(chǔ)過(guò)程，使用視圖，以及最小權(quán)限原則。2.跨站點(diǎn)攻擊(XSS) ，即惡意攻擊攻擊者將惡意的 HTML 代碼插入網(wǎng)頁(yè)。當(dāng)用戶瀏覽網(wǎng)頁(yè)時(shí)，嵌入的HTML 代碼將被執(zhí)行， 從而達(dá)到惡意攻擊的目的。 這些

17、攻擊的危害包括 :敏感信息泄露、網(wǎng)絡(luò)釣魚(yú)攻擊、封鎖 /偽造網(wǎng)頁(yè)特定信息、 Cookie欺騙、拒絕服務(wù)攻擊等?？缯军c(diǎn)攻擊防御方法:處理傳入的網(wǎng)址參數(shù)或確保傳入的來(lái)源是可靠的。軟件安全開(kāi)發(fā)開(kāi)發(fā)階段的最后一個(gè)安全步驟是源代碼審查， 它關(guān)注編碼中的實(shí)現(xiàn)缺陷。 這可以通過(guò)靜態(tài)分析工具來(lái)完成， 這些工具掃描源代碼，可以發(fā)現(xiàn)大約50%的安全問(wèn)題。3.軟件安全測(cè)試 軟件安全測(cè)試是根據(jù)特定的程序發(fā)現(xiàn)軟件錯(cuò)誤， 檢查軟件是否滿足規(guī)定的要求， 或者清楚地了解預(yù)期結(jié)果和實(shí)際結(jié)果之間的差異， 目的是發(fā)現(xiàn)軟件中的錯(cuò)誤。軟件安全測(cè)試是驗(yàn)證軟件安全級(jí)別和識(shí)別潛在安全缺陷的過(guò)程。 它不僅搜索軟件自身編程中存在的安全風(fēng)險(xiǎn)， 還檢

18、查應(yīng)用程序防止非法入侵的能力。 與傳統(tǒng)測(cè)試相比， 傳統(tǒng)的軟件測(cè)試只考慮軟件出錯(cuò)時(shí)的處理，不考慮對(duì)軟件的有意攻擊。在軟件投入生產(chǎn)之前， 一個(gè)獨(dú)立的安全團(tuán)隊(duì)?wèi)?yīng)該對(duì)應(yīng)用程序安全性進(jìn)行全面的評(píng)估， 評(píng)估分為功能性安全測(cè)試和對(duì)抗性安全測(cè)試。 傳統(tǒng)的測(cè)試方法包括:白盒測(cè)試、黑盒測(cè)試和灰盒測(cè)試。具體的安全測(cè)試方法包括 :模糊測(cè)試和滲透測(cè)試。模糊測(cè)試是一種通過(guò)提供意外輸入和監(jiān)控異常結(jié)果來(lái)發(fā)現(xiàn)軟件故障的方法。 這個(gè)測(cè)試屬于黑盒測(cè)試， 因?yàn)樗魂P(guān)心被測(cè)試目標(biāo)的內(nèi)部實(shí)現(xiàn)，只設(shè)計(jì)輸入、 測(cè)試結(jié)果和發(fā)現(xiàn)安全漏洞。這是一種非常有效的漏洞發(fā)現(xiàn)技術(shù)。 大多數(shù)已知的漏洞都是通過(guò)這項(xiàng)技術(shù)發(fā)現(xiàn)的。 當(dāng)用這種方法測(cè)試時(shí)， 不夠強(qiáng)大的程序會(huì)崩潰， 而良好編碼的程序