《《软件质量概述》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《软件质量概述》PPT课件.ppt(84页珍藏版)》请在三一办公上搜索。
1、第 七 讲软件质量概述,内 容,一、软件面临的问题二、问题分析三、从质量到可信四、设计质量五、安全漏洞,一、软件面临的问题,从与软件相关的一些重大事故谈起,2014年 3 月 22日:漏洞报告平台乌云网在其官网上公布了一条网络安全漏洞信息指出“携程”安全支付日志可遍历下载导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)并称已将细节通知厂商并且等待厂商处理中此外,携程还被曝某分站源代码包可直接下载(涉及数据库配置和支付接口信息),携程网曝支付日志漏洞,CSDN 网站 600 万用户密码泄露,继CSDN后,天涯、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、
2、178、7K7K等知名网站也被网友爆出采用明文密码,用户数据资料被放到网上公开下载,2011年12月21日,新浪微博爆出 CSDN 网站 600 多万用户的账户明文密码库泄露,当天出现迅雷快传链接12月22日晚,CSDN发表声明:向公安机关正式报案临时关闭用户登录并要求“2009年4月以前注册的帐号,且2010年9月之后没有修改过密码”的用户立即修改密码,2012年3月20日,北京警方宣布成功侦破了曾在互联网上造成巨大影响的网站用户数据泄露案,涉案犯罪嫌疑人已经被刑事拘留2012年2月4日,专案组在浙江温州将网民曾某抓获,曾某承认,2010年 4 月利用 CSDN 网站漏洞,非法侵入服务器获取
3、用户数据。在审查中,犯罪 嫌疑人曾某交代,他曾经入侵过某充值平台及某股票系统。警方介绍,在追查 CSDN 数据库泄露源头的过程中,侦查员又破获了另外起网络泄密案,先后抓获 4 名“黑客”。关键线索:”2010 年 9 月,一网民发帖自称掌握 CSDN 数据库,要求与公司进行合作”。,黑客入侵深圳福彩 篡改数据欲骗3305万巨奖,事件:2009年6月9日,双色球2009066 期开奖,全国共中出一等奖9注,其中深圳有5注。深圳市福彩中心在开奖(程序)结束后发现系统出现异常。经多次数据检验,工作人员判断,福彩中心销售系统 疑被非法入侵,中奖彩票数据记录被人为篡改,5注一等奖中奖数据系伪造。6月10
4、日凌晨2时,福彩中心工作人员报案结果:经调查,这是一起企图利用计算机网络信息系统技术诈骗彩票奖金的案件,所涉金额高达3305万元原因:深圳市某信息技术公司软件开发工程师程某,利用在深圳福彩中心实施其它技术合作项目的机会,通过木马攻击程序,恶意篡改彩票数据,以达到伪造双色球一等奖中奖事实,2007年10月30日,奥运门票第二阶段阶段预售首日,科技奥运?,2007年8月14日14时,美国洛杉矶国际机场电脑发生故障,60个航班的2万旅客无法入关。直至次日凌晨时分,所有滞留旅客才全部入关。原因分析:包含旅客姓名和犯罪记录的部分数据系统(海关和边境保护系统:决定旅客是否可以进入美国领土)瘫痪 2004年
5、9月发生过类似问题,2006年3月2日14点10分,沪深大盘忽然发生罕见大跳水,7分钟之内上证指数跌去近 20 点。原因分析:当日下午刚上市的招商银行认股权证成交量巨大,导致其行情显示时总成交量字段溢出,使其价格在股票分析软件上成为一条不再波动的直线,让市场产生了恐慌。,2005年4月20日上午10时56分,中国银联系统通信网络和主机出现故障,造成辖内跨行交易全部中断。这是2002年中国银联成立以来,首次全国性因系统故障造成的跨行交易全面瘫痪。原因:银联新近准备上线的某外围设备的隐性缺陷诱发了跨行交易系统主机的缺陷,使主机发生故障 软件能否提供支持?,2003年8月14日下午4时10分,美国及
6、加拿大部分地区发生历史上最大的停电事故。15日晚逐步恢复后果:经济损失250亿到300亿之间原因分析 俄亥俄州的第一能源(FirstEnergy)公司x下属的电力监测与控制管理系统软件 XA/21 出现错误,系统中重要的预警部分出现严重故障,负责预警服务的主服务器与备份服务器连接失控,错误没有得到及时通报和处理,最终多个重要设备出现故障,导致大规模停电2003年国际十大,1996年6月4日,欧洲空间局的阿丽亚娜火箭,发射后37秒爆炸。损失6亿美元原因分析:ADA语言编写的一段程序,将一个64位浮点整数转换为16位有符号整数时,产生溢出,导致系统惯性参考系统完全崩溃,1994年12月30日,美国
7、弗吉尼亚州 Lynchburg 大学的博士使用装有 Pentium 芯片的计算机时发现错误:(4195835/3145727)*3145727-4195835!=0后果:Intel 花费4亿多美元更换缺陷芯片原因:Pentium 刻录了一个软件缺陷(浮点除法),2002年6月28日美国商务部的国家标准技术研究所(NIST)发布报告:,“据推测,(美国)由于软件缺陷而引起的损失额每年高达 595 亿美元。这一数字相当于美国国内生产总值的 0.6%”。,二、问题分析,从质量谈起,1、什么是质量?2、什么是软件质量?3、为什么软件质量保障困难?,1、什么是“质量”“好坏程度”ISO 9000(200
8、0版)质量是(产品)的 一组固有特性满足要求的程度,特性:可区分的特征 物理特征:机械运动、温度、电流等 化学特征:成分组合、合成、分解等,固有特性:某事物中本来就有的、持久的特征直径、硬度、高度、频率 赋予特性:对事物增加的特性 价格、位置二者有一定的相对性,要求:显式要求:有明确规定的要求(行业标准或用户指定)计算机屏幕尺寸隐式要求:约定成俗的要求大楼要有楼梯,产品质量特性:内部特性、外部特性,满足的 程度!满足的 成本!,2、什么是软件质量?,软件质量是:软件产品满足规定的和隐含的与需求能力有关的全部特征和特性,来源于 Barry Boehm的软件质量模型形成了 ISO-9126的软件质
9、量模型框架影响了 软件生存周期中的不同阶段,区分不同的软件!,Barry Boehm的软件质量模型,阐述性,互用性,数据公开性,正确性,可靠性,效率,完整性,可用性,可维护性,可测试性,灵活性,可移植性,重复性,连贯性,容错性,执行效率/储存效率,存取控制/存取检查,可训练,沟通良好,简单性,易操作的,工具,自我操作性,扩展性,一般性,模块性,软件系统独立性,机器独立性,通讯公开性,正确性,可操作性,ISO-9126的软件质量模型框架,过程质量 有助于提高 产品质量产品质量 有助于提高 使用质量,软件生存周期中的质量,*的依从性:软件产品遵循与*相关的标准、约定或法规以及类似规定的能力,3、为
10、什么软件质量保障困难?,(1)软件产品与需求符合的程度(2)软件的本质(3)软件度量困难,(1)软件产品与需求符合的程度需求与成本之间的矛盾需求是永无止境的成本是永远有限的微软:质量只要好到能使大量的产品卖给客户NASA:可靠性要达到 99.999%Motorola:6,软件产品属性完全满足用户需求是不现实的,(2)软件的本质规模、复杂性、演化性网络环境软件研发过程缺乏基础理论支撑软件产品的验证缺乏基础理论支持,(3)软件度量困难“You cant control what you dont measure”Tom DeMarco,1982对比物理属性:尺子、秤、时钟、温度计、测速仪 它们的发
11、展过程!代码、过程、组织,度量无处不在!,三、从质量到可信,1、什么是可信?2、什么样的软件是可信的?,Compaq、HP、IBM、Intel和Microsoft等发起(1999):Trusted Computing Platform Alliance 后来增加软件:Trusted Computing Group(2003)微软倡导(2002):Trustworthy Computing,1、什么是可信?,TrustedTrustworthyDependabilityConfidenceAssurance,一个实体在实现给定目标时,其行为与结果总是可以预期的,可信软件,软件是可信的,如果:其服
12、务总是与用户的预期相符(质量?)即使在运行过程中出现一些特殊情况,1、硬件环境(计算机、网络)发生故障2、低层软件(操作系统、数据库)出现错误 3、其它软件(病毒软件、流氓软件)对其产生影响4、出现有意(攻击)、无意(误操作)的错误操作,什么特殊情况?,2、什么样的软件是可信的?,可用功能:正确、不少、不多可靠性(容错):高安全性(机密性、完整性):高响应时间(从输入到输出):小维护费用(监测、演化):小,质量与可信(1),可信更多关主体与客体的关系是系统“承诺”与实际表现的符合程度。存在这样一种情形,质量不是很高,但有具体的说明,仍然有高的可信性。同一个系统的质量是确定的,但对不同主体的可信
13、度可能不一样:一个受侵害的系统,对于实际用户是不可信的,对于黑客是可信的对于同一个系统,当用户对其信息掌握得有限时,可信度低,掌握了较多的正面信息时,可信度提升,质量与可信(2),质量主要是针对客体自身而言的,质量与可信之间的关系 类似于 软件与服务之间的关系,服务、可信 更多地关注 主体:最终用户,软件、质量 更多地关注 客体:软件自身,1、例子2、模型检测概述3、模型检测算法概览4、模型检测工具,四、设计质量,Needham-Schroeder 身份认证协议,N,S1Z,S1,S2N,S2Z,通信过程可能被窃听!加密可以防止窃听!如何约定加密数字?每人 有自己的标识:N每人 公布自己的公钥
14、:只有N才能解开的消息:*N每个对话过程 用一对数字对内容加密:S1,S2每次对话前 需要首先建立这对数字,该协议于1978年被提出并得到广泛应用,N,Z,1、例子,N,S1W,S1,S2N,S2W,N,S1Z,S1,S2N,S2Z,1996年,发现该协议存在设计缺陷:攻击者可以伪装一方的身份,利用模型检测方法!,被欺骗!不可信!,开始伪装,Z,W,N,1992 年,美国CMU 的 Clarke 和学生尝试用 SMV 验证IEEE Future+cache coherence 协议 发现协议设计中的几个以前未被发现的错误 这是 首次 用形式化方法发现 IEEE 标准中的错误 尽管从1988年就
15、开始制定协议,以前都是使用非形式化的方法验证协议,1992年,美国斯坦福大学的 Dill 和学生用 Murphito 验证 IEEE cache coherence 协议中的Scalable Coherent 接口 发现了几个错误,包括未初始化的变量和逻辑错误等 在上述协议的完整版也存在错误,尽管协议被深入地讨论、模拟甚至实现,AT&T 的 NewCoRe 项目(89-92)第一个将形式化验证方法应用于软件项目 在CCITT ISDN User Part 协议的开发中,使用了一个特殊的 model checker 5个“验证工程师”分析了 145 条需求 7,500 lines of SDL
16、源码被验证 发现了112 个错误,大约55%的院士设计需求存在逻辑不一致,ACM 2007年度图灵奖(Turing Award),Edmund M.Clarke,E Allen Emerson,Joseph Sifakis1981年,美国的Edmund Clarke和Allen Emerson以及在法国的Sifakis分别提出了模型检测(Model Checking)的最初概念他们开发了一套用于判断硬件和软件设计的理论模型是否满足规范的方法当系统检测失败时,还能利用它确定问题存在的位置,软件设计模型?Statecharts,用于软件?,软件代码?Use static analysis to e
17、xtract a finite state synchronization skeleton from the program.Model check the result.Bandera-Kansas State Java PathFinder-NASA Ames Slam Project(Bebop)-Microsoft,2、模型检测概述,1)基本情况2)什么是模型检测3)基本思想4)过程描述,产生 20世纪80年代初,Clarke,Emerson等提出了用于并发系统性质的CTL逻辑,设计了检测有穷状态系统是否满足给定CTL公式的算法特性能给出反例自动化程度高应用计算机硬件、通信协议、控制
18、系统、安全认证协议、软件安全 等,1)基本情况,定义Clarke&Emerson 1981“Model checking is an automated technique that,given a finite-state model of a system and a logical property,systematically checks whether this property holds for(a given initial state in)that model.”给定一个系统的有限状态模型,和一个逻辑性质,系统地检测:这个模型(含初始状态)满足该性质,2)什么是模型检测,
19、3)基本思想(1)用状态迁移系统(S)表示系统的行为,用模态/时序逻辑公式(F)描述系统的性质。(2)“系统是否具有某种期望的性质”就转化数学问题“状态迁移系统S是否是公式F的一个模型?”公式表示:S|=F?对于有限状态迁移系统,这个问题是可以判定的。,4)过程描述,OK,Error trace,or,1、建立模型Finite-state model,2、描述系统性质Temporal logic formula,3、输入工具Model Checker,(F W),Line 5:Line 12:Line 15:Line 21:Line 25:Line 27:Line 41:Line 47:,3、
20、模型检测算法概览,1)系统的表示(建立模型)2)属性的表示(描述系统性质)3)搜索状态空间(工具分析),2个例子:CTL 与 LTL,1)系统的表示,通常用有限状态自动机,状态集合Ss1,s2,s3标记(观察)集合Ap,q迁移关系 S Ss1 s2,标记函数L:S P(A)L(s1)=p,例子:微波炉系统,StartCloseHeatError,StartCloseHeatError,StartCloseHeatError,StartCloseHeatError,StartCloseHeatError,StartCloseHeatError,StartCloseHeatError,1,3,2,
21、4,6,7,5,start oven,open door,open door,close door,open door,cook,warmup,start oven,reset,start cooking,close door,2)属性表示(Property Specification)用各种模态/时序逻辑表示:线性时序逻辑(LTL:Linear Temporal Logic)计算树逻辑(CTL:Computation Tree Logic)模态命题 u-演算(u-Calculus),主要检测属性类型:安全性(safety):坏的事情不会发生。例如:无死锁活性(liveness):好的事情终会
22、发生。例如:请求响应公平性(fairness):一致性(consistency):,LTL(线性时态逻辑)的特点将时间建模成状态的序列,无限延伸到未来该状态序列称为计算路径或路径使用指示未来的连接词未来一般不确定,出现若干可能路径,主要时态连接词:下一个状态(X)未来某状态(F)未来所有状态(G)直到(U),几个例子:G(started ready)永远不可能“尚未就绪”就“已经启动”了G(requested F acknowledged)对资源的请求最终会得到确认G F enabled在每条计算路径上,某进程无限多次处于enabledF G deadlock某进程最终会被永久地死锁,LTL表
23、达不了的事情从任何状态出发,都可能(即存在一条路径)到达重新启动状态电梯可以在第3层保持关门闲置(即存在一条从该层到该层的路径,沿该路径电梯停留在原地)表达这些事情需要对路径使用存在量词,可以采用计算树逻辑解决,A(Always):对所有分支G(Global):现在和以后所有状态 E(Exist):对于某一个分支U(Until):直到某一状态F(Future):现在和以后某一状态X(Next-Time):,CTL(计算树逻辑)特点时间建模为树状结构,未来有不同的路径,For any reachable state:if“Start”holds,then along all outgoing p
24、aths,“Heat”eventually holds.,AG(Start AF Heat),微波炉系统的一个命题:只要按了“启动”,最终总会加热,3)搜索状态空间,逻辑表达式转换:E(Exist):对于某一个分支U(Until):直到某一状态G(Global):现在和以后所有状态 A(Always):对所有分支F(Future):现在和以后某一状态X(Next-Time):,EF(Start EG Heat),AG=EF()AF=A(true U)A(U)=.,AG(Start AF Heat),StartCloseHeatError,StartCloseHeatError,StartClo
25、seHeatError,StartCloseHeatError,StartCloseHeatError,StartCloseHeatError,StartCloseHeatError,1,3,2,4,6,7,5,start oven,open door,open door,close door,open door,cook,warmup,start oven,reset,start cooking,close door,EF(Start EG Heat),1.S(Start)=2,5,6,72.S(Heat)=1,2,3,5,63.S=S(Heat)=1,2,3,5,6 SCC=1,2,3,5
26、T=1,2,3,5=S(EG Heat)=1,2,3,54.S=2,55.S=1,2,3,4,5,6,76.S=,Needham-Schroeder 身份认证协议,mtype=msg1,msg2,msg3,alice,bob,intruder,nonceA,nonceB,nonceI,keyA,keyB,keyI,ok;typedef Crypt/*the encrypted part of a message*/mtype key,d1,d2;chan network=0 of mtype,/*msg#*/mtype,/*receiver*/Crypt;mtype partnerA,part
27、nerB;mtype statusA,statusB;/*Knowledge about nonces gained by the intruder.*/bool knowNA,knowNB;,(http:/www.loria.fr/merz/papers/NeedhamSchroder.spin),利用 Promela(protocol meta language)语言描述系统模型:,active proctype Alice()/*honest initiator for one protocol run*/mtype partner_key,partner_nonce;Crypt dat
28、a;if/*nondeterministically choose a partner for this run*/:partnerA=bob;partner_key=keyB;:partnerA=intruder;partner_key=keyI;fi;d_step/*Construct msg1 and send it to chosen partner*/data.key=partner_key;data.d1=alice;data.d2=nonceA;network!msg1(partnerA,data);,/*wait for partner to send back msg2 an
29、d decipher it*/network?msg2(alice,data);end_errA:/*make sure the partner used As key and that the first nonce matches,otherwise block.*/(data.key=keyA)/*proctype Alice()*/,active proctype Bob()/*honest responder for one run*/mtype partner_key,partner_nonce;Crypt data;network?msg1(bob,data);end_errB1
30、:(data.key=keyB);partnerB=data.d1;d_step partner_nonce=data.d2;if:(partnerB=alice)-partner_key=keyA;:(partnerB=bob)-partner_key=keyB;/*shouldnt happen*/:(partnerB=intruder)-partner_key=keyI;fi;/*respond with msg2*/data.key=partner_key;data.d1=partner_nonce;data.d2=nonceB;network!msg2(partnerB,data);
31、/*wait for msg3,check the key and the nonce,and declare success*/network?msg3(bob,data);end_errB2:(data.key=keyB),active proctype Intruder()mtype msg;Crypt data,intercepted;mtype icp_type;/*type of intercepted message*/do:/*Send msg1 to B(sending it to anybody else would be foolish).May use own iden
32、tity or pretend to be A;send some nonce known to I.*/if/*either replay intercepted message or construct a fresh message*/:icp_type=msg1-network!msg1(bob,intercepted);:data.key=keyB;if:data.d1=alice;:data.d1=intruder;fi;if:knowNA-data.d2=nonceA;:knowNB-data.d2=nonceB;:data.d2=nonceI;fi;network!msg1(b
33、ob,data);fi;,network?msg(_,data)-if/*Perhaps store the data field for later use*/:d_step intercepted.key=data.key;intercepted.d1=data.d1;intercepted.d2=data.d2;icp_type=msg;:skip;fi;d_step if/*Try to decrypt the message if possible*/:(data.key=keyI)-/*Have we learnt a new nonce?*/if:(data.d1=nonceA|
34、data.d2=nonceA)-knowNA=true;:else-skip;fi;if:(data.d1=nonceB|data.d2=nonceB)-knowNB=true;:else-skip;fi;:else-skip;fi;od;,检验性质:G(statusA=ok statusB=ok)=(partnerA=bob partnerB=alice),模型检测缺点(用于软件模型检测):空间爆炸:值域太泛,1)SMV2)SPIN3)其它工具,4、模型检测工具,1)SMV美国CMU计算机学院的L.McMillian 博士于1992年开发基于“符号模型检验”(Symbolic Model C
35、hecking)技术SMV早期是为了研究符号模型检测应用的可能性而开发的一种对硬件进行检测的一种实验工具一个SMV程序由两部分组成:一个有限状态转换系统和一组CTL公式把初始状态和转换关系表示成二叉决策树图 BDDs(Binary Diciding Diagrams)属性也就是CTL公式,也表示成BDDs,通过模型检测算法搜索系统状态空间,给出结果:一个声明的属性是正确的,或者是不正确的并给出一个反例,2)SPIN由贝尔实验室的形式化方法与验证小组于1980年开始开发的模型检测工具建模方式:使用Promela语言建模,整个系统可以看作是一组同步的可扩展的有限状态机模型检测器:可当做一个完整的L
36、TL(Linear Temporal Logic)模型检验系统来使用,支持所有的可用的线性时态逻辑表示的正确性验证要求,也可以在有效的on-the-fly检验系统中用来检验协议的安全特征其他的特征:将偏序简约(partial order reductions)技术、Bit State Hashing方法和线性时序逻辑有效的结合使用适合用于:通信协议的检测和线性时序逻辑模型检测,3)其它工具PROD建模方式:基于Pr/T Petri网,有自己的对Pr/T Petri网的描述语言 分析方式:实现可达图的CTL模型检测以及基于on-the-fly方法的LTL验证 Perti 网工具:INA、Lola
37、、PEP、Design/CPNUppaal和Kronos:是用于时控系统的模型检测工具Caesar Aldebaran(CADP):是基于LTSs的一组模型检测工具Java Pathfinder 2:是Java程序检测器Slam:一个检测C程序的检测工具,五、安全漏洞,1)SQL注入 2)脚本注入 3)跨站点攻击 4)代码分析,让正确的人得到正确的服务!,黑暗的利益!,1)SQL注入,SQL 注入的成因主要是因为向数据库提供的SQL 查询语句是用字符串拼装的方式生成的最经常遭受SQL注入的页面通常是管理员/用户登陆点。不论是asp 或是jsp,如果不正确的编码,都会出现这个漏洞,假设我们有一个
38、JSP 页面login.jsp,它会把用户名与密码提交到指定的模块Controller调用chekAdminLogin(String userName,String passWord)进行登陆验证如果从表中找到匹配的记录,则表示验证成功。否则返回Null 表示登陆验证失败。,checkAdminLogin 将收集到的用户名和密码信息拼装出SQL 字符串,供DAO 下层使用,以从数据库中的管理员记录表中读取数据,如果有人试图在这里进行恶意攻击:在登陆名输入框中输入 123(任意值)而在密码输入框中输入 OR 1=1那么由于我们的SQL是靠拼出来的,所以最终提交给数据库的将是:SELECT*FRO
39、M TD_ADMIN AS A WHERE A.USERNAME=123 AND A.PASSWORD=OR 1=1很显然,这句SQL 由于后面被加上了永真条件,登陆是一定成功的。那么不论登陆者是否是管理员,输入 OR 1=1,他都将能够登陆系统。,public Admin checkAdminLogin(String userName,String password)String strSQL=”SELECT*FROM TD_ADMIN AS A WHERE A.USERNAME=”+userName+”AND A.PASSWORD=”+password+”;,对策之一:Java 中对该模式
40、的实现有PreparedStatment或者NamingQuery一类的技术,实现了参数与逻辑的分离,可以从根本上杜绝SQL注入。,2)脚本注入,这里所说的脚本,通常指的是JavaScript脚本,虽然JavaScript运行于客户端,并且有安全沙箱的保护,但是放任恶意JavaScript脚本是十分危险的一个网站,如果对输入未做合理的验证或过滤,在显示输出的时候又未做合适的格式化,那么便存在这种漏洞与SQL注入不同,脚本注入没有直接攻击服务端,实际上是攻击了客户端 窃取信息!,假设我们有一个新闻站点,每个新闻允许浏览者进行评论浏览者提交的评论将被存储在数据据库专门的表中,并显示在新闻的下边如果
41、开发者除了字符长度外没有做任何输入合法验证,那么这个站点的评论输入,就存在安全漏洞。,假设我们在评论中输入如下内容:alert(“这里存在脚本注入漏洞.”);那么,这句话将被存储在数据库评论表中。以后,每一个浏览者打开这个新闻页面是,都将会弹出这样一个消息框。上面的攻击者很仁慈,没有做过多的破坏。但是如果输入:window.location.href=”;那么打开这个新闻页面,该页面将被从定向到baidu的页面上。如果目标页面一个有恶意代码的页面,那么每个浏览者的机器都可能中毒。,如果输入:好文!顶那么在新闻页面上看不到任何异状但点击该信息的浏览器会悄悄下载病毒WEB2.0的流行使页面效果更加
42、绚丽,同时也使脚本注入的攻击力提高不少,对策之一:提供合理的过滤或者转换程序,在输入存放于数据库前,或者是显示在页面前对数据进行处理。尽一切可能,避免用户的输入有执行的可能。,3)跨站点攻击,跨站攻击和脚本注入非常相似,但必须要诱使受害者点击链接才能得以执行 与脚本注入的不同用于脚本注入的恶意脚本提交后,将存储在服务器数据库中,导致每个访问问题页面的浏览者都将遭到恶意脚本的攻击而跨站攻击多数情况是将恶意脚本构造于url参数中,通过欺骗的方式去诱使受害者点击链接,使得恶意脚本执行虽然 Web 站点上存在安全漏洞,但是 Web 站点从未受到直接伤害 漏洞难于查找,特别容易被忽略,cross-sit
43、e scripting,简称 XSS,恶意攻击者(这里使用 Evil.org 表示)通过 E-mail 或 HTTP 将某银行的网址链接发给用户(银行用 表示),该链接中附加了恶意的脚本(上图步骤1)用户访问发来的链接,进入银行网站,同时,嵌在链接中的脚本被用户的浏览器执行(上图步骤2、3)用户在银行网站的所有操作,包括用户的 cookie 和 session 信息,都被脚本收集到,并且在用户毫不知情的情况下发送给恶意攻击者(上图步骤4)恶意攻击者使用偷来的 session 信息,伪装成该用户,进入银行网站,进行非法活动(上图步骤5),4)代码分析,找出所有的系统输入位置,确定可能的攻击界面 用户输入 数据库 配置文件 网络服务 命令行 注册表.,目标系统,对所有的输入进行验证 语法检查:格式是否正确,特殊字符过滤 白名单、黑名单 语义检查:输入是否恰当分析污染传播 使用数据流分析判断攻击者能控制的值 污染传播模式 源:read(),getenv();getpass()等 接收器:Statement.executeQuery(),strcpy();传递:trim();,National Vulnerability Database(国家漏洞数据库),
