《软件开发安全性设计课件.pptx》由会员分享,可在线阅读,更多相关《软件开发安全性设计课件.pptx(78页珍藏版)》请在三一办公上搜索。
1、软件开发安全性设计,主讲内容,软件安全的概念安全漏洞风险管理框架安全开发生命周期软件安全的七个接触点,软件安全的概念,第一部分,许多关键基础设施取决于计算机安全,关于软件安全的相关报道,软件安全的概念,出现软件故障现象的原因是软件存在漏洞。“任何软件,不论它看起来是多么安全,其中都隐藏漏洞”。软件安全的目的是尽可能消除软件漏洞,确保软件在恶意攻击下仍然正常运行。,报告给CERT/CC的与安全相关的软件弱点,软件安全问题加剧的三个趋势,互联性多数计算机与Internet相连多数软件系统互联于Internet可扩展性通过接受更新或者扩展件使系统升级复杂性代码行数增加、网络式、分布式,Windows
2、操作系统复杂性,安全漏洞,第二部分,安全漏洞,安全漏洞,安全漏洞,所有的软件都存在潜伏的漏洞安全必须经过长时间实际运行证明软件安全漏洞可分为两大类:设计漏洞实现漏洞,设计漏洞示例,Microsoft Bob是作为Windows ME和Windows 98的辅助程序而设计的,其中包含一个设置系统密码的工具。当用户试着输了三次(不正确)密码时,Bob将弹出如下的信息:“我想你忘记了你的密码,请输入一个新的密码。”然后,就允许用户修改密码,即使不知道老密码。,常见的安全设计问题,密码技术使用的败笔创建自己的密码技术选用了不当的密码技术依赖隐蔽式安全编写到程序中的密钥错误的处理私密信息对用户及其许可权
3、限进行跟踪会话管理薄弱或缺失身份鉴别薄弱或缺失授权薄弱或缺失,常见的安全设计问题,有缺陷的输入验证未在安全上下文环境中执行验证验证例程不集中不安全的组件边界薄弱的结构性安全大的攻击面在过高权限级别上运行进程没有纵深防御失效时处理不安全,常见的安全设计问题,其他代码和数据混在一起错将信任寄予外部环境不安全的默认值未作审计日志,实现漏洞示例,2001年的红色代码(Code Red)蠕虫利用Microsoft的IIS Web服务器的软件缺陷。字符串变量是Unicode字符类型的(每个字符占用两个字节),在计算缓冲区的时候应该是偏移量为2,但IIS在计算缓冲区大小的时候却按照偏移量为1错误的计算缓冲区
4、。导致在14个小时内,就有359000台机器感染了红色代码蠕虫。,几个常见致命安全漏洞,缓冲区溢出SQL注入跨站脚本,缓冲区溢出,当一个程序允许输入的数据大于已分配的缓冲区大小时,缓冲区溢出就会发生。有些语言具有直接访问应用程序内存的能力,如果未能处理好用户的数据就会造成缓冲区溢出。C和C+是受缓冲区溢出影响的两种最常见的编程语言。缓冲区溢出造成的后果小到系统崩溃,大到攻击者获取应用程序的完全控制权。1988年,第一个Internet蠕虫Morris蠕虫就是对finger服务器攻击,造成缓冲区溢出,几乎导致Internet瘫痪。,SQL注入,通过把SQL命令插入到Web表单递交或输入域名或页面
5、请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。任何可以与数据库交互的编程语言都可能出现SQL注入漏洞。SQL注入的最大的威胁是攻击者可以获得隐私的个人信息或者敏感数据;也可能导致服务器甚至网络的入侵。,SQL注入,ublic static boolean doQuery(String Id) try Statement st=.; ResultSet rs=st.executeQuery(“SELECT conum FROM cust WHERE id=”+Id); while(rs.next() . catch 如果传递来的参数是“1 or 21 -”,则执行SQL语句: SEL
6、ECT conum FROM cust WHERE id=1 or 21 -,跨站脚本,跨站脚本(XSS,Cross-site Scripting)漏洞是一类专门针对Web应用程序的漏洞,它会使得产生漏洞的Web服务器绑定的用户数据(通常保存在cookie中)被泄露给恶意的第三方。所谓“跨站”是指;当一个客户端访问了可正常提供服务但是有漏洞的Web服务器后,cookie从此客户端传递给了攻击者控制的站点。任何用于构建网站的编程语言或者技术都可能受到影响。,跨站脚本,跨站脚本, . Employee ID: XSS测试语句之一: alert(document.cookie),其他致命安全漏洞,格
7、式化字符串整数溢出命令注入未能处理错误信息未能保护好网络流量使用Magic UPL及隐藏表单字段未能正确使用SSL和TLS使用基于弱口令的系统未能安全的存储和保存数据信息泄露不恰当的文件访问清新网络域名解析竞争条件未认证的密钥交换密码学强度随机数不良可用性,解决软件安全的方法,Gary McGraw博士应用风险管理软件安全的接触点(最优化方法)知识微软:可重复的流程工程师教育度量标准和可测量性,风险管理框架,“安全就是风险管理”。风险就是在项目过程中有可能发生的某些意外事情。例如:缺少对开发工具的培训。风险管理的关键:随着软件项目的展开,不断的确定和追踪风险。RMF的基本思想:随时间变化,对软
8、件安全进行确定、评级、追踪和理解。,Cigital的风险管理框架(RMF),某软件项目的风险管理计划,微软:可信赖计算安全开发生命周期SDLC,微软,Gary McGraw:软件安全接触点,(最优化方法),利用工具进行代码审核,代码审核,所有的软件项目有一个共同的工件源代码。大量的安全问题都是由可以在代码中发现的简单缺陷引起的,例如缓冲区溢出漏洞与SQL注入漏洞。代码审核就是为了查找和修复存在于源代码中的缺陷。代码审核可以手工审核或者使用静态分析工具进行审核。静态分析工具审核速度快,并不需要操作人员具有丰富的安全专业知识。,25个最危险的编程错误,组件间不安全的交互:这些缺陷与数据在单独的组件
9、、模块、程序、进程、线程或系统之间不安全发送和接受方法有关。CWE-20:不适当的输入验证 ;CWE-116:不正确的编码或输出转义; CWE-89:SQL查询结构保护失败(又名“ SQL注入”) ;CWE-79:网页结构保护失败(又名“跨站脚本攻击”) ;CWE-78:操作系统命令结构保护失败;CWE-319:明文传输的敏感信息; CWE-352:伪造跨站请求(CSRF); CWE-362:竞争条件 ;CWE-209:错误消息的信息泄漏;,25个最危险的编程错误,危险的资源管理:此类缺陷与软件没有妥善管理创造、使用、转让或取消重要的系统资源有关。CWE-119:对内存缓冲区边界操作限制失败
10、;CWE-642:外部控制的临界状态数据;CWE-73:外部控制的文件名或路径 ;CWE-426:不可信的搜索路径; CWE-94:代码生成控制失败(又名“代码注入” ) ;CWE-494:下载的代码未进行完整性检查 ;CWE-404:资源关闭或释放不正确; CWE-665:不正确的初始化; CWE-682:不正确的运算(如出现整数溢出等错误)。,25个最危险的编程错误,可穿透的防范措施:这一类缺点与防御技术的经常误用、滥用,或彻底忽略有关。CWE-285:不正确的访问控制(授权) ;CWE-327:使用一个被攻破的或危险的加密算法 ;CWE-259:硬编码的密码 ;CWE-732:对关键资源
11、的使用权限不安全的分配 ;CWE-330:使用不够有效的随机值 ;CWE-250:给予没有必要的权限;CWE-602:服务器端的安全由客户端实施。,Fortify,Fortify SCA是发现软件安全漏洞隐患最全面和分析最完整的产品。它使用特有的成熟的五大软件安全分析引擎、最全面最广泛的软件安全代码规则集和fortify公司特有的X-Tier Dataflow analysis技术去检测软件安全问题。Fortify专门的分析器 数据流分析器语义分析器控制流分析器配置流分析器结构分析器,静态分析工具FindBugs,有了静态分析工具,就可以在不实际运行程序的情况对软件进行分析。FindBugs
12、是一个静态分析工具,它检查类或者 JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的问题。FindBugs 的 缺陷清单及说明。Findbugs eclipse插件使用指南,其他源代码分析工具,CoverityOunce LabsSecure software,体系结构风险分析,体系结构风险分析,50%的软件安全问题是有设计瑕疵引起的。因此需要对设计和说明书进行审核分析。设计人员、架构人员和分析人员应该用文档清晰的记录各种前提假设,并确定可能的攻击。安全分析人员揭示体系结构瑕疵,对它们评级,并开始进行降低风险的活动。,Cigital采用的体系结构风险分析的简单过程图,进行攻击抵抗力分析,
13、进行不确定性分析,进行底层框架弱点分析,确定一般瑕疵非编译显示何处没 有遵循方针,映射可实施的攻击模式,显示体系结构中的风险和驱动程序,显示对类似技术的已知攻击的生存能力,考虑设计含义,产生单独的体系结构图文档,统一的理解揭示不确定性确定下游的 困难度解开缠绕揭示糟糕的 可追逐性,在下列位置查找和分析瑕疵COTS框架网络拓扑平台,确定应用程序使用的服务,将弱点映射到应用程序所做的假设上,编写长度为一页的体系结构概述,输入 活动 输出,微软:STRIDE攻击模型,Spoofing identity(欺骗) Tampering with data (篡改)Repudiation (抵赖)Infor
14、mation disclosure (信息泄露)Denial of service (拒绝服务)Elevation of privilege (特权提升),49种攻击模式,使客户端不可见把写入专用OS资源的程序作为目标利用用户提供的配置文件运行提高权限的命令利用配置文件的搜索路径直接访问可执行文件在脚本内嵌入脚本充分利用不可执行文件中的可执行代码参数注入命令分隔符多个解析器和双重换码把用户提供的变量传递给文件系统调用后缀NULL终止符,49种攻击模式,后缀、NULL终止符和反斜线在相对路径间来回移动客户端控制的环境变量用户提供的全局变量会话ID、资源ID和保密委托模拟波段内的切换信号攻击模式片
15、段:操作终端设备简单的脚本注入在非脚本元素种嵌入脚本头中的XSSHTTP查询字符串用户控制的文件名,49种攻击模式,将本地文件名传入到参数为URL的函数中电子邮件头中的元字符文件系统函数注入,基于内容客户端注入,缓冲区溢出导致Web服务器错误分类前导幽灵字符的交替编码在交替编码中使用斜线在交替编码种使用转义斜线Unicode编码UTF-8编码URL编码可替换的IP地址,49种攻击模式,斜线和URL编码组合在一起Web日志记录使二进制资源文件溢出使变量和标记溢出使符号连接溢出MIME转换 Cookie通过缓冲区溢出来过滤错误用环境变量来使缓冲区溢出在API调用中的缓冲区溢出本地命令行工具中的缓冲
16、区溢出参数扩展Syslog()中的字符串格式溢出,Microsoft的威胁建模,软件安全最大的原因就在于软件使用输入外部数据流网络I/O远程过程调用(RFC)外部系统查询文件I/O注册表命名管道,互斥、共享内存,每一个操作系统对象Windows消息其他的操作系统调用,Microsoft的威胁建模,威胁建模识别威胁路径识别威胁识别漏洞将漏洞分级/排定优先级,Microsoft的威胁建模,识别威胁路径识别最高风险领域,并确定相应的保护措施确定用户访问类别基于数据流图进行威胁分析构造威胁路径表,用户访问分类示例,即时消息(IM)程序服务器数据流图,具有信任边界的IM数据流图,1,4,3,2,Micr
17、osoft的威胁建模,识别威胁对于每一条威胁路径,需要逐一理清与处理相关的每一种威胁。高风险活动 数据解析、文件访问、数据库访问 生成子进程、身份鉴别、授权 同步或会话管理、处理私密数据 网络访问,Microsoft的威胁建模,识别漏洞清楚了高风险组件所面临的威胁之后,下一步就是找出可能存在于这些组件中的实际漏洞。如果设计人员未能构建一些安全特性来缓解威胁,威胁就会变成一种漏洞。漏洞搜寻:详细的安全设计审查、安全代码审查、安全测试,Microsoft的威胁建模,将漏洞分级/排定优先级使用DREAD模型适用于分出威胁的严重程度级别的一种有效技术。DREAD代表:潜在的破坏(Damage pote
18、ntial)再现性(Reproducibility)可利用性(Exploitability)受影响的用户(Affected users)可发现性(Discoverability),软件渗透测试,渗透测试(Penetration Testing),为保证软件应用程序实现其商业功能需求,通常在软件生命周期运行一系列的动态功能测。传统的测试着重强调特性和功能,但安全并不是一种或一组特性,所以动态功能测试不适合直接用于安全测试。安全测试的核心就是使用白帽和黑帽的概念和方法:保证软件的安全特性像宣传的那样有效,并且保证有意的攻击也不能轻易的危及系统的安全。,渗透测试(Penetration Testin
19、g),渗透测试是一种“反向测试”,即安全测试人员直接和深入的探测安全风险以确定系统在遭受攻击时的表现。 渗透测试需要以攻击者的角度来思考问题,属于典型的黑盒测试。渗透测试就是利用所有的手段进行测试,发现和挖掘系统中存在的漏洞,然后撰写渗透测试报告,将其提供给客户;客户根据渗透人员提供的渗透测试报 告对系统存在漏洞和问题的地方进行修复和修补。渗透测试最适合于发掘配置问题和其他对软件安全影响较大的环境因素。,渗透测试工具,基于网站的渗透功能:网站漏洞扫描、cookie注入等工具:IBM Rational AppScan、Php Bug Scanner 基于系统的渗透功能:系统端口或漏洞扫描等工具:
20、nmap、X-Scan、溯雪 基于数据库的渗透功能:SQL注入、数据库弱口令扫描工具:DSQLTools 、mysqlweak 缓冲区溢出漏洞利用工具 功能:导致系统缓冲区溢出工具:sql2 、aspcode,基于风险的安全测试,基于风险的安全测试,风险分析,特别是在设计级中,可以帮助我们确定潜在的设计级安全问题和它们的影响。一旦风险被确定并进行了评级,就有助于指导软件安全测试。,滥用案例,滥用案例,软件开发人员倾向于根据系统在一切条件满足的情况下的表现来描述软件需求,这将导致以正确的使用为前提而描述系统的规范行为。如果系统会被有意滥用,为了开发出安全、可靠的软件,就必须设法预测异常行为。,滥
21、用案例,例如:对于一个工资支付系统,可能有这样的用例“系统允许HR管理部门的用户查看和修改所有员工的工资”、“系统只允许基本用户查看自己的工资”。但是对于潜在攻击者,可能会试图获取工资支付系统中的特别权限,以删除所有欺诈交易的证据;或者攻击者设法将工资支付推迟几天以挪用由推迟产生的利息。因此,为开发安全的软件,需要像坏攻击者一样思考问题。,滥用案例 如何创建,提出一些假设,说明可能出现的问题。仔细考虑负面和意外的事件。向攻击者一样地考虑问题。攻击者:企图使软件以某种不可预料的方式运行,以从中获益。攻击时经常探测的地方:边界条件、边缘、系统之间的通信,以及系统前提假设。聪明的攻击者经常设法破坏建
22、造系统的前提假设。滥用案例的目标之一:软件应该如何对非法使用做出反应。,建造滥用案例的简单过程图,可交付文档,攻击模型 威胁 攻击模式,已评级的误用和滥用案例,输入 活动 输出,安全分析人员需求分析人员,确定威胁,文档威胁,审核威胁,创建反需求,创建攻击模型,审核反需求,审核攻击模型,创建误用案例,分析和评级误用和滥用案例,审核已评级的误用和滥用案例,安全需求,软件安全与安全操作相结合,软件安全与安全操作相结合,需求:滥用案例设计:商业风险分析设计:体系结构风险分析测试计划:安全测试实现:代码审核系统测试:渗透测试实际部署系统:配置和操作,可信赖计算安全开发生命周期,微软,Microsoft
23、的SD3+C原则,Secure by Design, Secure by Default, Secure in Deployment and munication 设计安全:在架构、设计和实现软件时,应使它在运行时能保护自身及其处理的信息,并能抵御攻击。 默认安全:在现实世界中,软件达不到绝对安全,所以设计者应假定其存在安全缺陷。 部署安全:软件应该随附工具和指导以帮助最终用户和/或管理员安全地使用它。 通信:软件开发者应为产品漏洞的发现做好准备并坦诚负责地与最终用户和/或管理员进行通信,以帮助他们采取保护措施。,Windows 实施 SDL 之前和之后的严重和重要安全公告数,SQL Serv
24、er 2000 实施 SDL 之前和之后的安全公告数,Exchange Server 2000 实施 SDL 之前和之后的安全公告数,谁来实施安全?,Microsoft是假定公司或软件开发组织中存在一个中央安全小组,该小组致力于推动最佳安全做法的制订与改进和流程优化,为整个组织提供专家意见,并在软件发布前对其进行审核(最终安全审核或 FSR)。 Microsoft 的经验是在软件设计和开发过程中必须经常与安全小组进行互动,并必须与其共享敏感的技术和商业信息。,软件安全人人有责,开发人员必须实施安全工程,保证建造的系统是可防御的而非布满漏洞。软件操作人员必须继续架构合理的网络,保护它们并维持它们的运行。管理员必须理解现代系统的分布式本质,并开始实施最低特权原则。用户必须认识到软件是可以安全的,所以可以与软件供应商合作,共享软件的价值。还必须认识到,在任何设计中用户都是最后的防御阵地。软件经理主管人员必须认识到,在安全设计和安全分析上尽早投资会有助于提高用户对他们的产品的信任程度。,感谢您的聆听!,
