【正文】 性 ? 完備性 ? 可度量性 – 當(dāng)前 安全測(cè)試?yán)щy ? 測(cè)試?yán)碚摵茈y適用于安全領(lǐng)域 ? 安全測(cè)試基礎(chǔ)理論薄弱 ,當(dāng)前測(cè)試方法缺少理論指導(dǎo)，也缺乏技術(shù)產(chǎn)品工具 – 測(cè)試 VS 安全測(cè)試 ? BUG VS 安全漏洞 （并非是 BUG的一個(gè)子集） ? 信息泄露， WMF， LNK， SYN FLOOD漏洞是 BUG嗎 ？ 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 21 ? 安全測(cè)試 – 假設(shè)條件 ? 測(cè)試：導(dǎo)致問題的數(shù)據(jù)是用戶不小心構(gòu)成的 (只考慮提供給用戶的界面） ? 安全測(cè)試：導(dǎo)致問題的數(shù)據(jù)是攻擊者處心積慮構(gòu)成的（考慮所有攻擊界面，包括可污染 /滲透?jìng)鬟f的界面） – 思考域 ? 測(cè)試：功能本身 ? 安全測(cè)試：功能，系統(tǒng)機(jī)制，外部環(huán)境，應(yīng)用與數(shù)據(jù)自身安全風(fēng)險(xiǎn)與安全屬性 – 問題發(fā)現(xiàn)模式 ? 測(cè)試：違反功能定義的輸出 ? 安全測(cè)試：違反權(quán)限，能力與約束 – 黑盒：狀態(tài)或行為異常 – 灰盒：未完備的約束檢測(cè) – 靜態(tài)白盒：基于規(guī)范 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 22 ? 安全測(cè)試 – 安全測(cè)試與滲透測(cè)試 ? 出發(fā)點(diǎn)與目的 ? 成本 ? 測(cè)試對(duì)象 ? 覆蓋 /完備 /度量 ? 解決方案 ? 過程 參與 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 23 軟件安全開發(fā)生命周期 – 安全自身要素 ? 安全包括了三個(gè)層 次 – 安全功能（特性） – 安全策略（部署， 配置 ， 全局設(shè)計(jì)準(zhǔn)則） – 安全 實(shí)現(xiàn) – 安全測(cè)試是對(duì)以上幾個(gè)層次的驗(yàn)證和 度量 – 外部防護(hù)系統(tǒng)是一種補(bǔ)充保護(hù) 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 24 ? 安全測(cè)試 – 安全功能測(cè)試 ? 是否足夠 ? 是否實(shí)現(xiàn) ? 實(shí)現(xiàn)正確性 – 安全策略測(cè)試 ? 是否足夠 ? 是否實(shí)現(xiàn) ? 實(shí)現(xiàn)正確 性 – 代碼自身安全 ? 數(shù)據(jù)邊界檢測(cè)是否正確足夠 ? 體系設(shè)計(jì)是否正確足夠 ? 權(quán)限限制與檢測(cè)是否正確足夠 ? 處理邏輯是否正確 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 25 ? 安全測(cè)試 – 黑盒思路：基于功能與邊界值 ? FUZZ ? 智能 FUZZ ? 全局?jǐn)?shù)據(jù)結(jié)構(gòu) – 白盒思路：基于路徑 ? 源碼審計(jì) ? 二進(jìn)制靜態(tài)分析 ? 二進(jìn)制數(shù)據(jù)流動(dòng)態(tài)追蹤分析 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 26 ? 簡(jiǎn)介 ? 安全需 求分析 ? 安全設(shè)計(jì) ? 安全編程 ? 安全測(cè)試 ? 安全部署及安全響應(yīng) 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 27 ? 安全部署及安全響應(yīng) – 安全部署 軟件需提供相應(yīng)的文檔和工具，指導(dǎo)用戶如何安全的使用 。 – 安全響應(yīng) 當(dāng)前任何一個(gè)軟件開發(fā)模式（包括 SDL在內(nèi)），都無(wú)法確保發(fā)布的軟件沒有安全漏洞。因此，需要事先制訂對(duì)應(yīng)的相應(yīng)模式，包括： ? （內(nèi)部或外部發(fā)現(xiàn)的）安全漏洞以何種途徑匯報(bào) ? 如何評(píng)估安全漏洞的嚴(yán)重級(jí)別 ? 開發(fā)安全補(bǔ)丁的流程 ? 測(cè)試安全補(bǔ)丁的流程 ? 發(fā)布安全補(bǔ)丁的流程 ? 如何在以后開發(fā)中避免類似的安全漏洞，等等 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 28 ? 軟件安全開發(fā)生命周期 （ SDL） ? 基于 WEB應(yīng)用程序的 SDL 目錄 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 29 ? 概述 在公開提供的 SDL 文檔中，找不到專門針對(duì)如何保護(hù) Web 應(yīng)用程序或在線服務(wù)的指南。誠(chéng)然，大多數(shù) SDL 非實(shí)現(xiàn)要求同樣適用客戶端 /服務(wù)器和 Web 應(yīng)用程序。就象威脅模型對(duì) Web 窗體應(yīng)用程序與 Windows174。 窗體應(yīng)用程序同樣重要。而對(duì) SOAP 服務(wù)和對(duì) Windows 服務(wù)執(zhí)行最終安全審查也同樣重要。但對(duì)于跨站點(diǎn)腳本 (XSS) 和 SQL 注入等與 Web 相關(guān)的漏洞會(huì)是怎樣的情況呢？如果 SDL 如此注重防御客戶端 /服務(wù)器應(yīng)用程序的緩沖區(qū)溢出，它為什么會(huì)忽視針對(duì)在線服務(wù)發(fā)起的 XSS 攻擊這一 Web 頭號(hào)公敵的防御呢 ？ 下面以 JAVA編程安全為例說(shuō)明。 基于 WEB應(yīng)用程序的 SDL 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 30 ? 簡(jiǎn)介 ? 跨站腳本（ XSS） ? 注入漏洞（ Injection Flaws） ? 惡意文件執(zhí)行 ? 不安全的直接對(duì)象引用 ? 跨站點(diǎn)請(qǐng)求偽造（ CSRF） ? 信息泄露和錯(cuò)誤處理不當(dāng) ? 殘缺的認(rèn)證和會(huì)話管理 ? 不安全的加密儲(chǔ)存 ? 不安全的通信 ? 限制 URL訪問失效 JAVA安全編程 ——OWASP TOP 10 AND ESAPI 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 31 簡(jiǎn)介 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 32 ? ESAPI（ Enterprise Security API） 其實(shí)簡(jiǎn)單一點(diǎn)來(lái)說(shuō)， ESAPI就是為編寫出更加安全的代碼設(shè)計(jì)出來(lái)的一些 API，方便使用者 調(diào)用，從而方便的編寫安全的代碼。它本身是開源的，同時(shí)提供 JAVA版本和 .NET版本。 代碼下載地址： 下圖顯示了提供的 API與 OWASP列出的 10個(gè)安全問題的涵蓋關(guān)系： 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 33 WHAT IS AN ENTERPRISE SECURITY API? THE ESAPI FAMILY COMMUNITY BREAKDOWN 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 34 OWASP WHAT IS AN ENTERPRISE SECURITY API? ADDRESSING THE OWASP TOP TEN OWASP Top Ten OWASP ESAPI A1: Injection A2: Cross Site Scripting (XSS) A3: Broken Authentication and Session Management A4: Insecure Direct Object Reference A5: Cross Site Request Fery (CSRF) A6: Security Misconfiguration A7: Insecure Cryptographic Storage A8: Failure to Restrict URL Access A9: Insufficient Transport Layer Protection A10: Unvalidated Redirects and Forwards Encoder Encoder, Validator Authenticator, User, HTTPUtilities AccessReferenceMap, AccessController User (CSRF Token) SecurityConfiguration Encryptor AccessController HTTPUtilities AccessController 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 35 OWASP WHAT IS AN ENTERPRISE SECURITY API? OWASP ESAPI PROJECT SCORECARD Authentication Identity Access Control Input Validation Output Escaping Canonicalization Encryption Random Numbers Exception Handling Logging Intrusion Detection Security Configuration WAF 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 36 ? 下圖顯示結(jié)合 ESAPI設(shè)計(jì)你的程序 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 37 ? 下圖簡(jiǎn)單呈現(xiàn) ESAPI如何運(yùn)作 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 38 跨站腳本（ XSS） ?定義 跨站腳本是最普遍的 web應(yīng)用安全漏洞。 當(dāng)應(yīng)用程序在發(fā)送給瀏覽器的頁(yè)面中包含用戶提供的數(shù)據(jù)，但沒有經(jīng)過適當(dāng)驗(yàn)證或 轉(zhuǎn)譯 那些內(nèi)容，這就導(dǎo)致跨站腳本漏洞 。 ?危