【正文】 規(guī)范 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 – 不使用任何方式驗(yàn)證失敗 的數(shù)據(jù) 當(dāng)程序?qū)δ硞€(gè)數(shù)據(jù)校驗(yàn)失敗時(shí) （如：校驗(yàn)數(shù)據(jù)類型），相關(guān)的異常處理程序應(yīng)拋棄該數(shù)據(jù)并中斷操作，而不應(yīng)對(duì)數(shù)據(jù)進(jìn)行任何的修復(fù)嘗試 。例如，對(duì)一個(gè)網(wǎng)絡(luò)軟件的設(shè)計(jì)，它需要監(jiān)聽那些網(wǎng)絡(luò)端口，是否可以減少監(jiān)聽端口的數(shù)目？那些用戶可以與這些端口建立連接，是否要加強(qiáng)身份驗(yàn)證 ？ ?深層防御。 7Safe 2023/11/10 DBAppsecurtiy 2023 5 雖 然目前企業(yè)和組織已經(jīng)逐步意識(shí)到軟件安全的重要性，但是他們把目光更多的聚焦到了軟件開發(fā)后的漏洞掃描或滲透測試，盡管這個(gè)過程能夠發(fā)現(xiàn)和解決大多數(shù)的安全隱患，但是后期的安全評(píng)估和安全整改，將帶來更大的成本投入和人力投入；甚至由于開發(fā)人員的流動(dòng)導(dǎo)致許多安全漏洞無法得到解決。 7Safe 2023/11/10 DBAppsecurtiy 2023 3 ? 簡介 ? 安全需 求分析 ? 安全設(shè)計(jì) ? 安全編程 ? 安全測試 ? 安全部署 及安全響應(yīng) 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 4 ? 簡介 安全開發(fā)周期，即 Security Development Lifecycle (SDL)，是微軟提出的從安全角度指導(dǎo)軟件開發(fā)過程的管理模式。據(jù)美國國家標(biāo)準(zhǔn)局（ NIST）早年發(fā)表的一份調(diào)查報(bào)告估計(jì)，更好的安全控制措施將為后期安全整改的總體成本節(jié)省三分之一以上的費(fèi)用，且有效規(guī)避 70%以上由于軟件安全隱患所引發(fā)的安全 事件。底層模塊的設(shè)計(jì)中，假設(shè)上層模塊有可能出現(xiàn)安全漏洞。 – 對(duì) HTTP所有內(nèi)容進(jìn)行校驗(yàn) 除需對(duì)傳統(tǒng) 的 HTTP GET、 POST等數(shù)據(jù)進(jìn)行嚴(yán)格校驗(yàn)外，還應(yīng)對(duì) HTTP內(nèi)所有可能使用到的字段進(jìn)行校驗(yàn)，防止字段中包含惡意字符而污染程序，如 ： ?Referer ?Host ?Cookie ?…… 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 17 – 校驗(yàn)被調(diào)用的文本或配置文 件 若程序需要調(diào) 用后臺(tái)文本或配置文件，則在調(diào)用前，應(yīng)相對(duì)文件或配置文件的完整性和有效性進(jìn)行檢查，以確保讀入的文本或配置文件是正確可用的 。 7Safe 2023/11/10 DBAppsecurtiy 2023 22 ? 安全測試 – 安全測試與滲透測試 ? 出發(fā)點(diǎn)與目的 ? 成本 ? 測試對(duì)象 ? 覆蓋 /完備 /度量 ? 解決方案 ? 過程 參與 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 28 ? 軟件安全開發(fā)生命周期 （ SDL） ? 基于 WEB應(yīng)用程序的 SDL 目錄 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 30 ? 簡介 ? 跨站腳本（ XSS） ? 注入漏洞（ Injection Flaws） ? 惡意文件執(zhí)行 ? 不安全的直接對(duì)象引用 ? 跨站點(diǎn)請(qǐng)求偽造（ CSRF） ? 信息泄露和錯(cuò)誤處理不當(dāng) ? 殘缺的認(rèn)證和會(huì)話管理 ? 不安全的加密儲(chǔ)存 ? 不安全的通信 ? 限制 URL訪問失效 JAVA安全編程 ——OWASP TOP 10 AND ESAPI 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 36 ? 下圖顯示結(jié)合 ESAPI設(shè)計(jì)你的程序 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 39 ? 解決之道 ? 驗(yàn)證輸入 驗(yàn)證輸入很簡單 檢查每個(gè)輸入的有效性。 7Safe 2023/11/10 DBAppsecurtiy 2023 41 ?實(shí)例 getValidInput( context, input, type, int maxLength, boolean allowNull, ValidationErrorList errors) isValidInput( context, input, type, int maxLength, boolean allowNull) String validatedFirstName = ().getValidInput(FirstName, (), FirstNameRegex, 255, false, errorList)。 需要編碼的部分： HTML實(shí)體 HTML屬性 Javascript CSS URL 下圖像顯示編碼輸出的架構(gòu)。 7Safe 2023/11/10 DBAppsecurtiy 2023 45 注入漏洞（ Injection Flaws） ? 定義 簡單來說，注入往往是應(yīng)用程序缺少對(duì)輸入進(jìn)行安全性檢查 所引起的，攻擊者把一些包含指令的數(shù)據(jù)發(fā)送給解釋器，解釋器會(huì)把收到的數(shù)據(jù)轉(zhuǎn)換成指令執(zhí)行，注入漏洞十分普遍，通常能在 SQL查詢、 LDAP查詢、 Xpath查詢、 OS命令、程序參數(shù)等中出現(xiàn)。 + () + 39。1 SELECT * FROM users WHERE username = tony39。 7Safe 2023/11/10 DBAppsecurtiy 2023 47 使用 PreparedStatement()綁定變量 下面的代碼示例使用一個(gè) PreparedStatement， Java的一個(gè)參數(shù)化查詢的執(zhí)行情況，執(zhí)行相同的數(shù)據(jù) 庫查詢。 // This should REALLY be validated try { CallableStatement cs = ({call sp_getAccountBalance(?)})。 myStmt = (query)。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。除非名字空間很稀疏，否則攻擊者很容易訪問該類型的所有數(shù)據(jù)。 7Safe 2023/11/10 DBAppsecurtiy 2023 55 ? 案例 2 檢查訪問。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 //from HTTPUtilitiles interface final static String CSRF_TOKEN_NAME = ctoken。 if (user == null) return null。 } } 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 (, “Logout successful” )。 7Safe 2023/11/10 DBAppsecurtiy 2023 62 ? 案例 2 針對(duì)登錄嘗試的攻擊，可以使用相同的報(bào)錯(cuò)信息，比如都是提示“輸入的用戶名或者密碼錯(cuò)誤！”。 – 確保在一開始登錄 SSL保護(hù)的網(wǎng)頁。 簡單不加密的敏感數(shù)據(jù)是非常普遍。 7Safe 2023/11/10 DBAppsecurtiy 2023 67 不安全的通信 ? 定義 對(duì)于不加密的應(yīng)用程序的網(wǎng)絡(luò)信息傳輸，需要保護(hù)敏感的通信。 我們舉個(gè)例子來說明這個(gè)過程： 攻擊者發(fā)現(xiàn)他自己的訪問地址為 /user/getAccounts； 他修改他的目錄為 /admin/getAccounts或 /manager/getAccounts； 這樣攻擊者就能夠查看到更多的賬戶信息了。 boolean isAuthorizedForData(String action, Object data)。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 2023年 3月 4日星期六 上午 11時(shí) 52分 57秒 11:52: ? 1比不了得就不比，得不到的就不要。 11:52:5711:52:5711:52Saturday, March 4, 2023 ? 1不知香積寺，數(shù)里入云峰。 11:52:5711:52:5711:523/4/2023 11:52:57 AM ? 1越是沒有本領(lǐng)的就越加自命不凡。 11:52:5711:52:5711:52Saturday, March 4, 2023 ? 1知人者智，自知者明。 2023年 3月 4日星期六 上午 11時(shí) 52分 57秒 11:52: ? 1楚塞三湘接，荊門九派通。 2023年 3月 上午 11時(shí) 52分 :52March 4, 2023 ? 1行動(dòng)出成果，工作出財(cái)富。 7Safe 2023/11/10 DBAppsecurtiy 2023 74 ? 靜夜四無鄰，荒居舊業(yè)貧。 boolean isAuthorizedForService(String serviceName)。 7Safe 2023/11/10 DBAppsecurtiy 2023 70 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 否則，應(yīng)用程序?qū)⒈┞渡矸蒡?yàn)證或會(huì)話令牌。 這些缺陷可以導(dǎo)致違反披露敏感數(shù)據(jù)的遵守。 7Safe 2023/11/10 DBAppsecurtiy 2023 64 ? 獲取注銷的權(quán)利； ? 添加超時(shí)； ? 確保你使用的是安全相關(guān)的功能； ? 使用強(qiáng)大的認(rèn)證； ? 不進(jìn)行默認(rèn)身份驗(yàn)證 //BAD DON39。 7Safe 2023/11/10 DBAppsecurtiy 2023 63 殘缺的認(rèn)證和會(huì)話管理 ? 定義 與認(rèn)證和會(huì)話管理相關(guān)的應(yīng)用程序功能往往得不到正確實(shí)施，這就導(dǎo)致攻擊者破壞密碼、密匙、會(huì)話令牌或利用實(shí)施漏洞冒充其他用戶身份。 } 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 //this code is in the DefaultUser implementation of ESAPI public void logout() { ().killCookie( (), (), )。 } 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 if (()) { return hr