【正文】 操作時(shí)進(jìn)行防護(hù)； 而異常管理、敏感數(shù)據(jù)保護(hù)、對(duì)象重用等技術(shù)則指導(dǎo)開發(fā)者改進(jìn)軟件的自身缺陷。希望借此來改善計(jì)算機(jī)程序的明晰性、品質(zhì)以及開發(fā)時(shí)間，并且避免寫出面條式代碼。 不可信任模塊除審計(jì)和訪問控制模塊外其它所有模塊均為不可信模塊。信息隱藏基本原理框圖： 中間件中間件是提供系統(tǒng)軟件和應(yīng)用軟件之間連接的軟件，將常用且重要的過程調(diào)用、分布式組件、消息隊(duì)列、事務(wù)、安全、連結(jié)器、商業(yè)流程、網(wǎng)絡(luò)并發(fā)、HTTP服務(wù)器、Web Service等功能集于一身或者分別在不同品牌的不同產(chǎn)品中分別完成。 元字符元字符就是在編程語言中具有特定含義的字符或者字符串。）符號(hào)同樣是危險(xiǎn)的字符，而換行符（\n） 對(duì)日志文件很關(guān)鍵。 信息熵信息熵指信息的不確定性,一則高信息度的信息熵是很低的,低信息度的熵則高。它在服務(wù)器和客戶機(jī)兩端可同時(shí)被支持，目前已成為互聯(lián)網(wǎng)上保密通訊的工業(yè)標(biāo)準(zhǔn)。這種協(xié)議在Web上獲得了廣泛的應(yīng)用。HTTPS連接經(jīng)常被用于萬維網(wǎng)上的交易支付和企業(yè)信息系統(tǒng)中敏感信息的傳輸。例如，在瀏覽器和遠(yuǎn)程主機(jī)之間的HTTP傳輸中，HTTP cookie就會(huì)被用來包含一些相關(guān)的信息，例如session ID，參數(shù)和權(quán)限信息等。定義于RFC2109。2. 針對(duì)本規(guī)范提出的主要代碼脆弱性應(yīng)進(jìn)行相應(yīng)的防范設(shè)計(jì)，具體內(nèi)容應(yīng)在軟件概要設(shè)計(jì)中體現(xiàn)或有單獨(dú)的文檔體現(xiàn)。2. 只有安全可信模塊，才能以高安全等級(jí)訪問系統(tǒng)的敏感信息，對(duì)于其他模塊限制其訪問敏感信息。3. 一次只執(zhí)行一個(gè)任務(wù)。2. 只授與部分絕對(duì)需要的具體特權(quán)。 同時(shí)作為結(jié)構(gòu)化的編程， 每個(gè)原子化組件都要保證一個(gè)入口和一個(gè)出口。 使代碼簡(jiǎn)單、最小化和易于修改開發(fā)時(shí)應(yīng)盡量使代碼簡(jiǎn)單、最小化和易于修改。 數(shù)據(jù)和代碼分離軟件應(yīng)該把數(shù)據(jù)與程序放置在不同的目錄中，這里的數(shù)據(jù)包括遠(yuǎn)程下載文件等。 禁止賦予用戶進(jìn)程特權(quán)用戶進(jìn)程的授權(quán)應(yīng)采用最小授權(quán)法，對(duì)于軟件的普通用戶進(jìn)程，禁止賦予該類進(jìn)程特權(quán)用戶權(quán)限。 使用適當(dāng)?shù)臄?shù)據(jù)類型應(yīng)該小心使用數(shù)據(jù)類型，盡量使用占用內(nèi)存較小的數(shù)據(jù)類型，如可用整型數(shù)據(jù)的不用實(shí)型，特別是在程序接口部分。 設(shè)計(jì)錯(cuò)誤、 異常處理機(jī)制軟件設(shè)計(jì)開發(fā)時(shí)應(yīng)建立防止系統(tǒng)死鎖的機(jī)制，異常情況的處理和恢復(fù)機(jī)制，具體包括錯(cuò)誤和異常檢測(cè)、數(shù)據(jù)回滾、安全錯(cuò)誤通知、錯(cuò)誤和異常記錄、斷點(diǎn)保護(hù)等。 修改面向用戶的操作的反饋缺省描述應(yīng)對(duì)面向用戶的操作的反饋缺省描述進(jìn)行必要的封裝，刪除有關(guān)后臺(tái)系統(tǒng)或其它敏感信息。2. 確保所有用來指示數(shù)組下標(biāo)的數(shù)據(jù)（或指針）都指向了一個(gè)有效的數(shù)組元素。4. 對(duì)經(jīng)常使用的類似的 SQL 語句應(yīng)使用綁定變量的方法，避免數(shù)據(jù)庫執(zhí)行類似 SQL 語句時(shí)重復(fù)解析、重復(fù)訪問數(shù)據(jù)文件的行為。4 應(yīng)用安全分析 安全需求系統(tǒng)安全本質(zhì)上屬于信任問題，要保證應(yīng)用安全，就必須將解決各種操作過程中不可信問題?？捎眯砸蟊Ｗo(hù)資源是可被按照需要訪問。顧名思義，即是利用網(wǎng)絡(luò)上已被攻陷的電腦作為“僵尸”，向某一特定的目標(biāo)電腦發(fā)動(dòng)密集式的“拒絕服務(wù)”式攻擊，用以把目標(biāo)電腦的網(wǎng)絡(luò)資源及系統(tǒng)資源耗盡，使之無法向真正正常請(qǐng)求的用戶提供服務(wù)。嗅探器可以分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。就有可能有人在監(jiān)聽，這是由于嗅探器攔截?cái)?shù)據(jù)包導(dǎo)致的。在中間人攻擊中，攻擊者可以攔截通訊雙方的通話并插入新的內(nèi)容。大多數(shù)的加密協(xié)議都專門加入了一些特殊的認(rèn)證方法以阻止中間人攻擊。使數(shù)據(jù)穿越可信邊界的次數(shù)降到最低。if((ATTR_USR)== null){ (ATTR_USR,usrname)。在這種情況下，維護(hù)一個(gè)可信的邊界就尤為重要，不可信數(shù)據(jù)應(yīng)該單獨(dú)存放在專門存放不可信數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)內(nèi)，在經(jīng)過驗(yàn)證之后才被放在可信區(qū)域。3. 第三方接口數(shù)據(jù)。7. 注冊(cè)表值。也就是說，程序默認(rèn)情況下要對(duì)所有的輸入信息進(jìn)行驗(yàn)證，不能通過驗(yàn)證的數(shù)據(jù)將會(huì)被拒絕。3. 檢查數(shù)值數(shù)據(jù)是否符合期望的數(shù)值范圍，比如檢測(cè)整數(shù)輸入的最大值與最小值。、 \等。 拒絕驗(yàn)證失敗的數(shù)據(jù)應(yīng)拒絕驗(yàn)證失敗的輸入數(shù)據(jù)，不試圖對(duì)其進(jìn)行修復(fù)（如處理密碼域時(shí)自動(dòng)剪裁掉超過最大長度的輸入，替換掉在輸入框輸入的 JavaScript 字符等）。 在服務(wù)端進(jìn)行驗(yàn)證僅在客戶端進(jìn)行驗(yàn)證是不安全的，尤其是在 WEB 應(yīng)用系統(tǒng)中，客戶端的驗(yàn)證大多采用腳本（如JavaScript）來完成，客戶端的驗(yàn)證很容易被繞過，安全的做法是在客戶端驗(yàn)證的同時(shí)，在服務(wù)器端也進(jìn)行驗(yàn)證。如果日志數(shù)據(jù)中包含輸入數(shù)據(jù)，應(yīng)對(duì)輸入數(shù)據(jù)進(jìn)行驗(yàn)證，禁止攻擊者能夠?qū)懭我獾臄?shù)據(jù)到日志中。 數(shù)據(jù)庫訪問 合理分配數(shù)據(jù)庫訪問權(quán)限應(yīng)按照“最小化原則” 為應(yīng)用程序分配數(shù)據(jù)庫訪問權(quán)限。導(dǎo)致 SQL 注入漏洞的原因就是攻擊者可以改變 SQL 請(qǐng)求的內(nèi)容，攻擊者提交的數(shù)據(jù)變成了 SQL 執(zhí)行命令的一部分。也就是說，開發(fā)者使用這些綁定參數(shù)來準(zhǔn)確的向數(shù)據(jù)庫指出哪些應(yīng)該被當(dāng)作數(shù)據(jù)，哪些應(yīng)該被當(dāng)作命令。PreparedStatementstmt= (q)。String q=SELECT *FROM records WHEREitem=?。... 對(duì) SQL 語句中來自于不可信區(qū)域的輸入?yún)?shù)進(jìn)行驗(yàn)證 在一些復(fù)雜的情況會(huì)出現(xiàn)要求輸入影響 SQL 語句結(jié)構(gòu)的情況，譬如要求在 where 子句里增加一個(gè)動(dòng)態(tài)約束，這時(shí)應(yīng)對(duì)來自不可信區(qū)域的輸入?yún)?shù)進(jìn)行驗(yàn)證。 通過 row（行）級(jí)別的訪問控制來使用數(shù)據(jù)庫不要依賴應(yīng)用程序訪問控制能夠保護(hù)數(shù)據(jù)庫的數(shù)據(jù)，限制每個(gè)請(qǐng)求使用戶只能訪問他們自己的數(shù)據(jù)。 確保數(shù)據(jù)庫資源被釋放保證數(shù)據(jù)庫訪問在不需要使用的時(shí)候被釋放，例如連接、游標(biāo)等。 文件操作 對(duì)上傳文件進(jìn)行限制允許用戶上傳文件時(shí)，應(yīng)對(duì)上傳文件做如下限制：1. 上傳文件類型限制應(yīng)遵循最小化原則，通過文件檢查僅允許上傳必須的文件類型。 把文件名以及文件內(nèi)容作為不可信的輸入對(duì)待對(duì)來自文件系統(tǒng)的所有值都應(yīng)進(jìn)行合適的輸入驗(yàn)證，確保從文件系統(tǒng)中讀取的數(shù)據(jù)符合期望。 使用文件系統(tǒng)訪問控制由于文件系統(tǒng)是一個(gè)被多個(gè)用戶共享的系統(tǒng)，這就要求以最嚴(yán)格的權(quán)限來保護(hù)保存在其中的資源。 安全使用臨時(shí)文件在程序初始化時(shí)以最嚴(yán)格的權(quán)限策略建立一個(gè)安全臨時(shí)文件夾，該文件夾只有該程序具備讀寫權(quán)限，其他用戶無法訪問。a) 在 Java 中，應(yīng)該在 finally 塊中釋放資源來保證資源在任何情況下都會(huì)被釋放。 用戶訪問控制信息的機(jī)密性禁止在程序代碼和配置文件中直接明文寫入用戶名和口令等用戶訪問控制信息。 避免內(nèi)存溢出軟件設(shè)計(jì)開發(fā)中，為防止內(nèi)存溢出，應(yīng)注意以下事項(xiàng)：1. 在對(duì)緩存區(qū)填充數(shù)據(jù)時(shí)應(yīng)進(jìn)行邊界檢查，判斷是否超出分配的空間。5. 應(yīng)及時(shí)釋放內(nèi)存資源，防止內(nèi)存泄漏，但要避免重復(fù)內(nèi)存釋放。 禁止在源代碼中寫入口令應(yīng)將加密后的口令存儲(chǔ)在配置文件，數(shù)據(jù)庫或者其它外部數(shù)據(jù)源中。1. 在 Java 中， 建議使用SecureRandom類生成隨機(jī)數(shù)，不要使用Random 類。兩種最常見的選種錯(cuò)誤是使用空種子和使用日期作為種子。 使用可信的密碼算法如果應(yīng)用程序需要加密、數(shù)字簽名、密鑰交換或者安全散列，應(yīng)使用一個(gè)成熟的算法，自己設(shè)計(jì)的密碼算法缺乏廣泛的驗(yàn)證。b) 應(yīng)向服務(wù)或應(yīng)用程序的客戶發(fā)送最少量的信息，確保沒有密碼或其他敏感數(shù)據(jù)。 可以將應(yīng)用程序設(shè)置為不向遠(yuǎn)程用戶顯示詳細(xì)錯(cuò)誤信息，也可以選擇將錯(cuò)誤重定向到應(yīng)用程序頁。216。敏感數(shù)據(jù)除了傳輸需要加密外，一般還要求對(duì)敏感數(shù)據(jù)新增和變更操作進(jìn)行審計(jì)。如：用戶口令、支付密碼、信用卡密碼等屬于保密數(shù)據(jù)。 角色劃分對(duì)外網(wǎng)類應(yīng)用，必須預(yù)先定義外網(wǎng)用戶角色類型、各類角色的應(yīng)用場(chǎng)景，并按照缺省最小權(quán)限原則劃分角色權(quán)限。 程序文件分類程序文件分為可直接被客戶端請(qǐng)求訪問的文件以及無法從客戶端直接訪問的文件，應(yīng)對(duì)程序文件進(jìn)行劃分，將不同的程序文件存放在不同的目錄下。216。 允許存儲(chǔ)在客戶端本地 文件安全 文件存儲(chǔ)系統(tǒng)運(yùn)行過程中生成的正式文件必須存儲(chǔ)在專門的文件服務(wù)器上，并要設(shè)置安全訪問策略。 第三方組件安全 組件兼容性所以引入的第三方組件都必須確保組件與平臺(tái)之間的兼容性，避免引入組件后引起平臺(tái)及現(xiàn)有組件崩潰、無法運(yùn)行、出現(xiàn)BUG等問題。方案：可以通過在消息頭中增加用戶名和口令，作為認(rèn)證憑據(jù)；對(duì)于安全性要求不高、只向同一信任域內(nèi)其他主機(jī)開放的Web Service接口，可以通過簡(jiǎn)單的IP認(rèn)證來實(shí)現(xiàn)接口的認(rèn)證（只有服務(wù)器端指定IP地址的客戶端才允許調(diào)用，IP地址可配置）。方案：1） 采用HTTPS安全協(xié)議。6. 對(duì)Web Service接口調(diào)用進(jìn)行日志記錄，日志內(nèi)容包括但不限于如下內(nèi)容：調(diào)用時(shí)間、操作類型、調(diào)用接口名稱、詳細(xì)的接口參數(shù)、客戶端IP、客戶端機(jī)器名、調(diào)用者的用戶標(biāo)識(shí)、受影響的個(gè)體（數(shù)據(jù)、資源）、成功或失敗標(biāo)識(shí)。方案：客戶端發(fā)起的Restful請(qǐng)求需要在消息頭帶Authorization字段，內(nèi)容填Basic Base64(user:pass)，服務(wù)端對(duì)user和passwd進(jìn)行認(rèn)證。 Web Service傳遞敏感數(shù)據(jù)時(shí)，必須保障其機(jī)密性，采用HTTPS安全協(xié)議。 應(yīng)用安全關(guān)注點(diǎn)圖1典型的Web安全技術(shù)框架圖1 顯示了典型的Web應(yīng)用安全的技術(shù)框架和安全技術(shù)點(diǎn)，這些安全技術(shù)點(diǎn)，貫穿整個(gè)Web設(shè)計(jì)開發(fā)過程。另外還要考慮Web系統(tǒng)的安全配置，敏感數(shù)據(jù)的保護(hù)和用戶的權(quán)限管理，以及所有操作的安全審計(jì)。表 1Web 應(yīng)用程序缺陷和由于不良設(shè)計(jì)可能導(dǎo)致的問題缺陷類別由于不良設(shè)計(jì)可能導(dǎo)致的問題身份驗(yàn)證身份偽造、口令破解、權(quán)限提升和未授權(quán)訪問。敏感數(shù)據(jù)機(jī)密信息泄漏和數(shù)據(jù)篡改。包括命令執(zhí)行、跨站點(diǎn)腳本編寫 (XSS)、SQL 注入和緩沖區(qū)溢出攻擊等。 內(nèi)網(wǎng)應(yīng)用當(dāng)外網(wǎng)應(yīng)用需要與內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)交互時(shí)，必須在內(nèi)網(wǎng)部署相關(guān)應(yīng)用，并通過內(nèi)網(wǎng)應(yīng)用與業(yè)務(wù)系統(tǒng)交互。并且當(dāng)用戶操作需要訪問文件時(shí)，文件訪問操作應(yīng)通過應(yīng)用系統(tǒng)進(jìn)行文件操作的中轉(zhuǎn)，不要讓客戶端通過文件訪問協(xié)議直接連接文件系統(tǒng)。正向隔離裝置用于安全區(qū)I/II到安全區(qū)III的單向數(shù)據(jù)傳遞。南瑞SysKeeper－2000反向隔離裝置提供了專用發(fā)送軟件在發(fā)送文本文件數(shù)據(jù)時(shí)，自動(dòng)將半角字符轉(zhuǎn)換為全角字符。這里的輸入不僅僅指正常情況下的用戶輸入，還包括從文件獲取的內(nèi)容、從協(xié)議的數(shù)據(jù)包中獲取的內(nèi)容，從環(huán)境變量、注冊(cè)表等獲取的輸入。為防御SQL注入攻擊，必須采用預(yù)編譯的方式執(zhí)行SQL語句或存儲(chǔ)過程。Statement stmt = (query)。String pass = (password)。(2, pass)。（分號(hào)） （兩個(gè)減號(hào)）。 會(huì)話注銷要提供用戶注銷功能，并且應(yīng)保證以下的代碼在注銷過程中被調(diào)用：() Cookie 臨時(shí)Cookie臨時(shí)Cookie指的是沒有指定Expire時(shí)間，當(dāng)瀏覽器關(guān)閉后，Cookie就失效。 本地Cookie本地Cookie指的是在生成Cookie時(shí)，設(shè)置了Expire時(shí)間，只有當(dāng)Expire時(shí)間到了Cookie才會(huì)失效，這種Cookie會(huì)被存儲(chǔ)到客戶端本地，由于存儲(chǔ)了用戶的信息，因此這種類型的Cookie有較高的風(fēng)險(xiǎn)，不要將重要的數(shù)據(jù)存儲(chǔ)在本地Cookie中。 Cookie訪問如果希望禁止在客戶端通過Javascript和Applet等技術(shù)訪問和操作Cookie中的數(shù)據(jù)，可以在生成Cookie時(shí)，在其中加入HttpOnly的屬性。(“SetCookie”,”name=value。 輸入文件名的驗(yàn)證如果需要從調(diào)用方接收輸入文件名，要確保文件名具有嚴(yán)格的格式，以便可以確定它是否有效。(content)。缺省情況下，該值為true。script var temp=” encodeForJavascript($var)”。style li{ liststyleimage:url(“javascript:alert(‘encodeForCSS($var)’)”)。如：用戶口令，必須使用不可逆的加密算法加密后在存儲(chǔ)在數(shù)據(jù)庫中。 涉及到用戶密碼傳輸及修改的請(qǐng)求216。在客戶端，包含敏感數(shù)據(jù)的HTTPS請(qǐng)求，要設(shè)置以下的頭信息，禁止瀏覽器緩存頁面數(shù)據(jù)，HTTP頭信息代碼如下：CacheControl:nocache,nostore。 403禁止訪問當(dāng)用戶訪問了一個(gè)無訪問權(quán)限的路徑時(shí)，應(yīng)將請(qǐng)求跳轉(zhuǎn)到指定的403處理頁面，提示用戶無權(quán)訪問，并返回給瀏覽器HTTP 403編碼。臨時(shí)文件名必須采用足夠長度的隨機(jī)算法生成。 文件名保存在服務(wù)器上的文件名必須經(jīng)過修改，文件上傳到服務(wù)器上后，采用非常隨機(jī)的算法（如：GUID）重新生成文件名。 內(nèi)存控制 大對(duì)象如果要加載大對(duì)象到內(nèi)存中，應(yīng)盡可能減少大對(duì)象在內(nèi)存中的存活時(shí)間，使用完后立即釋放，并將對(duì)象應(yīng)用設(shè)置為NULL，對(duì)于大對(duì)象的內(nèi)存回收不應(yīng)太過依賴內(nèi)存垃圾回收機(jī)制。應(yīng)使用正則表達(dá)式對(duì)輸入的參數(shù)（IP）做嚴(yán)格過濾，否則用戶可以提交如下格式的 IP 數(shù)據(jù)： 。如果能不讓惡意的數(shù)據(jù)進(jìn)入程序，或者至少不在程序中處理它，程序在面對(duì)攻擊時(shí)將更加健壯。特別強(qiáng)調(diào)：所有的輸入都是不安全的，在使用前都應(yīng)進(jìn)行檢查、驗(yàn)證或者過濾?，F(xiàn)在許多有緩存溢出風(fēng)險(xiǎn)的函數(shù)都存在相對(duì)安全的替代函數(shù)，它們都通過傳遞參數(shù)來限制多少數(shù)據(jù)被調(diào)用。return。return。return。} sprintfsprintf()：此函數(shù)用來格式化字符串變量，是很容易產(chǎn)生緩存溢出的地方。return。fgets()函數(shù)用來代替不安全的 gets()函數(shù)，此函數(shù)會(huì)至多讀取’sizeof(buffer) – 1’的文件流 。return。} scanf、fscan、sscanscanf()、fscan()、sscan()：在使用這些函數(shù)的時(shí)候需要小心讀取要放到固定長度緩存區(qū)的數(shù)據(jù)，應(yīng)確保規(guī)定要讀到緩存區(qū)的數(shù)據(jù)長度。