应用安全技术概述.pptx

信息安全原理及从业人员安全素养培训 01 应用安全技术概述 第 2 页 信息安全原理及从业人员安全素养 第七章 第 3 页 第一节. 软件漏洞 概念及分类 多年以来，在计算机软件（包括来自第三方的软件，商业的和免费的软件）中已经发现了不计其数能够削弱安全性的缺陷（bug）。黑客利用编程中的细微错误或者上下文依赖关系，已经能够控制Linux，让它做任何他们想让它做的事情。 漏洞 13.下载未经完整性检查 14.不正确的初始化 15.使用被破解的加密算法 16.滥用特权操作 1.错误的输入验证 2.不正确的转义输出 3.SQL注入)错误 4.跨站脚本 5.操作系统命令注入 6.明文传送敏感信息 7.资源竞争 8.错误信息泄露 9.缓冲区内操作失败 10.外部控制重要状态数据 11.不可信搜索路径 12.控制代码生成错误 第七章 第 4 页 第一节. 软件漏洞 缓冲区溢出漏洞 第七章 第 5 页 第一节. 软件漏洞 格式化字符串漏洞 猜猜这是啥？ 第七章 第 6 页 第一节. 软件漏洞 软件漏洞案例 第七章 第 7 页 第一节. 软件漏洞 软件漏洞案例 心脏出血 第七章 第 8 页 第二节. 软件安全开发 建立安全威胁模型 第七章 第 9 页 第二节. 软件安全开发 安全设计 代码重用 业务认可 最少公用 全面防御 最小权限 开放设计 原则 安全加密 实效防护 第七章 第 10 页 第二节. 软件安全开发 安全编程 数据的机密性 使用验证过的加密算法；使用非对称传递会话密钥；使用会话加密机制加密传输数据；给用户最低权限，操作结束后即时回收； 数据的完整性 检查访问路径、调用的返回代码及关键的输入参数；全面处理异常输入输出；检查竞争条件； 数据的有效性 检查环境参数；使用绝对路径；设置超时；对不同角色权限作不同限制；对IP、端口进行限制；采用新版本的开发环境；对内存中数据的访问进行严格的检查； 第七章 第 11 页 第二节. 软件安全开发 安全测试 构造畸形数据 验证输入输出文件 全面测试异常处理 全面检测输入 测试非正常路径 采用反汇编检测敏感信息 第七章 第 12 页 第三节. 软件安全检测 静态安全检测技术 1 词法分析 2 数据流分析 3 污点传播分析 4 符号执行 5 模型检验 6 定理证明 动态安全检测技术 1 生成模糊测试数据 2 检测模糊测试数据 3 监测程序异常 4 确定可利用性 第七章 第四节. 软、硬件安全保护 注册信息验证技术 软件防篡改技术 代码混淆技术 软件水印技术 软件加壳技术 软件安全保护技术 反调试反跟踪技术 加密狗 光盘保护技术 专用接口卡 1 1 2 2 3 第 13 页 第七章 第五节. 恶意程序 分类 木马 蠕虫病毒 恶意脚本 宏病毒 单一病毒 第 14 页 第七章 第五节. 恶意程序 传播方式 网站挂马、诱骗下载、移动存储介质传播、电子邮件和即时通讯软件传播、局域网传播 破坏功能 浏览器配置被修改、窃取用户隐私、远程控制、破坏系统 第 15 页 第七章 第五节. 恶意程序 查杀技术和防范 第 16 页 第七章 第六节. WEB应用系统安全 威胁种类 注入、跨站、遭破坏的身份认证和会话、不安全的直接对象引用、伪造跨站请求、安全配置错误、不安全的加密存储、无限制URL访问、传输层保护不足、未经验证的重定向和转发 第 17 页 第七章 第六节. WEB应用系统安全 WEB安全防护 客户端安全防护 通信信道安全防护 服务器安全防护 WEB安全防护 第 18 页 第七章 第六节. WEB应用系统安全 WEB安全检测 黑盒检测 白盒检测 安全检测 检测报告 第 19 页