【正文】 性 ? 完備性 ? 可度量性 – 當前 安全測試困難 ? 測試理論很難適用于安全領域 ? 安全測試基礎理論薄弱 ,當前測試方法缺少理論指導，也缺乏技術產品工具 – 測試 VS 安全測試 ? BUG VS 安全漏洞 （并非是 BUG的一個子集） ? 信息泄露， WMF， LNK， SYN FLOOD漏洞是 BUG嗎 ？ 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 21 ? 安全測試 – 假設條件 ? 測試：導致問題的數(shù)據(jù)是用戶不小心構成的 (只考慮提供給用戶的界面） ? 安全測試：導致問題的數(shù)據(jù)是攻擊者處心積慮構成的（考慮所有攻擊界面，包括可污染 /滲透傳遞的界面） – 思考域 ? 測試：功能本身 ? 安全測試：功能，系統(tǒng)機制，外部環(huán)境，應用與數(shù)據(jù)自身安全風險與安全屬性 – 問題發(fā)現(xiàn)模式 ? 測試：違反功能定義的輸出 ? 安全測試：違反權限，能力與約束 – 黑盒：狀態(tài)或行為異常 – 灰盒：未完備的約束檢測 – 靜態(tài)白盒：基于規(guī)范 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 22 ? 安全測試 – 安全測試與滲透測試 ? 出發(fā)點與目的 ? 成本 ? 測試對象 ? 覆蓋 /完備 /度量 ? 解決方案 ? 過程 參與 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 23 軟件安全開發(fā)生命周期 – 安全自身要素 ? 安全包括了三個層 次 – 安全功能（特性） – 安全策略（部署， 配置 ， 全局設計準則） – 安全 實現(xiàn) – 安全測試是對以上幾個層次的驗證和 度量 – 外部防護系統(tǒng)是一種補充保護 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 24 ? 安全測試 – 安全功能測試 ? 是否足夠 ? 是否實現(xiàn) ? 實現(xiàn)正確性 – 安全策略測試 ? 是否足夠 ? 是否實現(xiàn) ? 實現(xiàn)正確 性 – 代碼自身安全 ? 數(shù)據(jù)邊界檢測是否正確足夠 ? 體系設計是否正確足夠 ? 權限限制與檢測是否正確足夠 ? 處理邏輯是否正確 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 25 ? 安全測試 – 黑盒思路：基于功能與邊界值 ? FUZZ ? 智能 FUZZ ? 全局數(shù)據(jù)結構 – 白盒思路：基于路徑 ? 源碼審計 ? 二進制靜態(tài)分析 ? 二進制數(shù)據(jù)流動態(tài)追蹤分析 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 26 ? 簡介 ? 安全需 求分析 ? 安全設計 ? 安全編程 ? 安全測試 ? 安全部署及安全響應 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 27 ? 安全部署及安全響應 – 安全部署 軟件需提供相應的文檔和工具，指導用戶如何安全的使用 。 – 安全響應 當前任何一個軟件開發(fā)模式（包括 SDL在內），都無法確保發(fā)布的軟件沒有安全漏洞。因此，需要事先制訂對應的相應模式，包括： ? （內部或外部發(fā)現(xiàn)的）安全漏洞以何種途徑匯報 ? 如何評估安全漏洞的嚴重級別 ? 開發(fā)安全補丁的流程 ? 測試安全補丁的流程 ? 發(fā)布安全補丁的流程 ? 如何在以后開發(fā)中避免類似的安全漏洞，等等 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 28 ? 軟件安全開發(fā)生命周期 （ SDL） ? 基于 WEB應用程序的 SDL 目錄 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 29 ? 概述 在公開提供的 SDL 文檔中，找不到專門針對如何保護 Web 應用程序或在線服務的指南。誠然，大多數(shù) SDL 非實現(xiàn)要求同樣適用客戶端 /服務器和 Web 應用程序。就象威脅模型對 Web 窗體應用程序與 Windows174。 窗體應用程序同樣重要。而對 SOAP 服務和對 Windows 服務執(zhí)行最終安全審查也同樣重要。但對于跨站點腳本 (XSS) 和 SQL 注入等與 Web 相關的漏洞會是怎樣的情況呢？如果 SDL 如此注重防御客戶端 /服務器應用程序的緩沖區(qū)溢出，它為什么會忽視針對在線服務發(fā)起的 XSS 攻擊這一 Web 頭號公敵的防御呢 ？ 下面以 JAVA編程安全為例說明。 基于 WEB應用程序的 SDL 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 30 ? 簡介 ? 跨站腳本（ XSS） ? 注入漏洞（ Injection Flaws） ? 惡意文件執(zhí)行 ? 不安全的直接對象引用 ? 跨站點請求偽造（ CSRF） ? 信息泄露和錯誤處理不當 ? 殘缺的認證和會話管理 ? 不安全的加密儲存 ? 不安全的通信 ? 限制 URL訪問失效 JAVA安全編程 ——OWASP TOP 10 AND ESAPI 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 31 簡介 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 32 ? ESAPI（ Enterprise Security API） 其實簡單一點來說， ESAPI就是為編寫出更加安全的代碼設計出來的一些 API，方便使用者 調用，從而方便的編寫安全的代碼。它本身是開源的，同時提供 JAVA版本和 .NET版本。 代碼下載地址： 下圖顯示了提供的 API與 OWASP列出的 10個安全問題的涵蓋關系： 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 33 WHAT IS AN ENTERPRISE SECURITY API? THE ESAPI FAMILY COMMUNITY BREAKDOWN 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 34 OWASP WHAT IS AN ENTERPRISE SECURITY API? ADDRESSING THE OWASP TOP TEN OWASP Top Ten OWASP ESAPI A1: Injection A2: Cross Site Scripting (XSS) A3: Broken Authentication and Session Management A4: Insecure Direct Object Reference A5: Cross Site Request Fery (CSRF) A6: Security Misconfiguration A7: Insecure Cryptographic Storage A8: Failure to Restrict URL Access A9: Insufficient Transport Layer Protection A10: Unvalidated Redirects and Forwards Encoder Encoder, Validator Authenticator, User, HTTPUtilities AccessReferenceMap, AccessController User (CSRF Token) SecurityConfiguration Encryptor AccessController HTTPUtilities AccessController 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 35 OWASP WHAT IS AN ENTERPRISE SECURITY API? OWASP ESAPI PROJECT SCORECARD Authentication Identity Access Control Input Validation Output Escaping Canonicalization Encryption Random Numbers Exception Handling Logging Intrusion Detection Security Configuration WAF 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 36 ? 下圖顯示結合 ESAPI設計你的程序 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 37 ? 下圖簡單呈現(xiàn) ESAPI如何運作 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 38 跨站腳本（ XSS） ?定義 跨站腳本是最普遍的 web應用安全漏洞。 當應用程序在發(fā)送給瀏覽器的頁面中包含用戶提供的數(shù)據(jù)，但沒有經過適當驗證或 轉譯 那些內容，這就導致跨站腳本漏洞 。 ?危