- 1、本文档共20页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全原理及从业人员安全素养培训
01
应用安全技术概述
第 2 页
信息安全原理及从业人员安全素养
第七章
第 3 页
第一节. 软件漏洞
概念及分类
多年以来,在计算机软件(包括来自第三方的软件,商业的和免费的软件)中已经发现了不计其数能够削弱安全性的缺陷(bug)。黑客利用编程中的细微错误或者上下文依赖关系,已经能够控制Linux,让它做任何他们想让它做的事情。
漏洞
13.下载未经完整性检查
14.不正确的初始化
15.使用被破解的加密算法
16.滥用特权操作
1.错误的输入验证
2.不正确的转义输出
3.SQL注入)错误
4.跨站脚本
5.操作系统命令注入
6.明文传送敏感信息
7.资源竞争
8.错误信息泄露
9.缓冲区内操作失败
10.外部控制重要状态数据
11.不可信搜索路径
12.控制代码生成错误
第七章
第 4 页
第一节. 软件漏洞
缓冲区溢出漏洞
第七章
第 5 页
第一节. 软件漏洞
格式化字符串漏洞
猜猜这是啥?
第七章
第 6 页
第一节. 软件漏洞
软件漏洞案例
第七章
第 7 页
第一节. 软件漏洞
软件漏洞案例 心脏出血
第七章
第 8 页
第二节. 软件安全开发
建立安全威胁模型
第七章
第 9 页
第二节. 软件安全开发
安全设计
代码重用
业务认可
最少公用
全面防御
最小权限
开放设计
原则
安全加密
实效防护
第七章
第 10 页
第二节. 软件安全开发
安全编程
数据的机密性
使用验证过的加密算法;使用非对称传递会话密钥;使用会话加密机制加密传输数据;给用户最低权限,操作结束后即时回收;
数据的完整性
检查访问路径、调用的返回代码及关键的输入参数;全面处理异常输入输出;检查竞争条件;
数据的有效性
检查环境参数;使用绝对路径;设置超时;对不同角色权限作不同限制;对IP、端口进行限制;采用新版本的开发环境;对内存中数据的访问进行严格的检查;
第七章
第 11 页
第二节. 软件安全开发
安全测试
构造畸形数据
验证输入输出文件
全面测试异常处理
全面检测输入
测试非正常路径
采用反汇编检测敏感信息
第七章
第 12 页
第三节. 软件安全检测
静态安全检测技术
1
词法分析
2
数据流分析
3
污点传播分析
4
符号执行
5
模型检验
6
定理证明
动态安全检测技术
1
生成模糊测试数据
2
检测模糊测试数据
3
监测程序异常
4
确定可利用性
第七章
第四节. 软、硬件安全保护
注册信息验证技术
软件防篡改技术
代码混淆技术
软件水印技术
软件加壳技术
软件安全保护技术
反调试反跟踪技术
加密狗
光盘保护技术
专用接口卡
1
1
2
2
3
第 13 页
第七章
第五节. 恶意程序
分类
木马
蠕虫病毒
恶意脚本
宏病毒
单一病毒
第 14 页
第七章
第五节. 恶意程序
传播方式
网站挂马、诱骗下载、移动存储介质传播、电子邮件和即时通讯软件传播、局域网传播
破坏功能
浏览器配置被修改、窃取用户隐私、远程控制、破坏系统
第 15 页
第七章
第五节. 恶意程序
查杀技术和防范
第 16 页
第七章
第六节. WEB应用系统安全
威胁种类
注入、跨站、遭破坏的身份认证和会话、不安全的直接对象引用、伪造跨站请求、安全配置错误、不安全的加密存储、无限制URL访问、传输层保护不足、未经验证的重定向和转发
第 17 页
第七章
第六节. WEB应用系统安全
WEB安全防护
客户端安全防护
通信信道安全防护
服务器安全防护
WEB安全防护
第 18 页
第七章
第六节. WEB应用系统安全
WEB安全检测
黑盒检测
白盒检测
安全检测
检测报告
第 19 页
文档评论(0)