【正文】 2023年 3月 4日星期六 11時 52分 57秒 11:52:574 March 2023 ? 1空山新雨后，天氣晚來秋。 :52:5711:52Mar234Mar23 ? 1故人江海別，幾度隔山川。 public void assertAuthorized(Object key, Object runtimeParameter) throws AccessControlException。 7Safe 2023/11/10 DBAppsecurtiy 2023 66 ?使用一定的機制來進行保護 – 文件加密； – 數據庫加密； – 數據元素加密。因此特權帳戶會造成更大的破壞。 ()。?39。 XSS利用站點內的信任用戶，而 CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網站。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 //we39。 = 39。 7Safe 2023/11/10 DBAppsecurtiy 2023 46 ? 解決之道 ? SQL注入實例 String sqlString = SELECT * FROM users WHERE fullname = 39。 這些技術定義一些特殊的“轉義”字符。 ?種類 已知有三種著名跨站漏洞： 1）存儲式； 2）反射式； 3）基于DOM。而對 SOAP 服務和對 Windows 服務執(zhí)行最終安全審查也同樣重要。 – 安全測試目標 ? 提升產品安全質量 ? 盡量在發(fā)布前兆到安全問題予以修補降低成本 ? 度量 安全 – 當前安全測試方法有 ? 模式匹配方法 ,將程序看作字符串 ? 狀態(tài)機模型 ,將程序看作狀態(tài)機 ? 黑盒模型 ,將程序看作黑盒子 ? 白盒模型 ,將程序看作路徑 的組合 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 – 校驗 全部的輸入長度 通過限制輸入長度 ，可以有效的控制一些攻擊使其不給系統帶來過大的威脅 ： ?SQL Inject ?XSS ?File Include ?……… 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。由于軟件開發(fā)過程中未進行任何有效的安全控制措施，導致軟件開發(fā)后由于其固有的安全隱患所引起的安全事件頻頻發(fā)生，給黑客及惡意人員可趁之機，由此導致的經濟損失不可估量。它是微軟為了面對現實世界中安全挑戰(zhàn)，在實踐中的一步步發(fā)展起來的軟件開發(fā)模式。 7Safe 2023/11/10 DBAppsecurtiy 2023 11 ? 簡介 ? 安全需 求分析 ? 安全設計 ? 安全編程 ? 安全測試 ? 安全部署 及安全響應 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。誠然，大多數 SDL 非實現要求同樣適用客戶端 /服務器和 Web 應用程序。 7Safe 2023/11/10 DBAppsecurtiy 2023 38 跨站腳本（ XSS） ?定義 跨站腳本是最普遍的 web應用安全漏洞。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。注入漏洞有時甚至能導致完全接管主機。 39。 ResultSet results = ()。 Web應 用往往在生成 Web頁面時會用它的真實名字，且并不會對所有的目標對象訪問時來檢查用戶權限，所以這就造成了不安全的 對象直接引用的漏洞。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 if (()) { return href。 //this code is in the DefaultUser implementation of ESAPI public void logout() { ().killCookie( (), (), )。 7Safe 2023/11/10 DBAppsecurtiy 2023 63 殘缺的認證和會話管理 ? 定義 與認證和會話管理相關的應用程序功能往往得不到正確實施，這就導致攻擊者破壞密碼、密匙、會話令牌或利用實施漏洞冒充其他用戶身份。 這些缺陷可以導致違反披露敏感數據的遵守。 7Safe 2023/11/10 DBAppsecurtiy 2023 70 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 74 ? 靜夜四無鄰，荒居舊業(yè)貧。 2023年 3月 4日星期六 上午 11時 52分 57秒 11:52: ? 1楚塞三湘接，荊門九派通。 11:52:5711:52:5711:523/4/2023 11:52:57 AM ? 1越是沒有本領的就越加自命不凡。 2023年 3月 4日星期六 上午 11時 52分 57秒 11:52: ? 1比不了得就不比，得不到的就不要。 boolean isAuthorizedForData(String action, Object data)。 7Safe 2023/11/10 DBAppsecurtiy 2023 67 不安全的通信 ? 定義 對于不加密的應用程序的網絡信息傳輸，需要保護敏感的通信。 – 確保在一開始登錄 SSL保護的網頁。 (, “Logout successful” )。 if (user == null) return null。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。除非名字空間很稀疏，否則攻擊者很容易訪問該類型的所有數據。 myStmt = (query)。 7Safe 2023/11/10 DBAppsecurtiy 2023 47 使用 PreparedStatement()綁定變量 下面的代碼示例使用一個 PreparedStatement， Java的一個參數化查詢的執(zhí)行情況，執(zhí)行相同的數據 庫查詢。 + () + 39。 需要編碼的部分： HTML實體 HTML屬性 Javascript CSS URL 下圖像顯示編碼輸出的架構。 7Safe 2023/11/10 DBAppsecurtiy 2023 39 ? 解決之道 ? 驗證輸入 驗證輸入很簡單 檢查每個輸入的有效性。 7Safe 2023/11/10 DBAppsecurtiy 2023 30 ? 簡介 ? 跨站腳本（ XSS） ? 注入漏洞（ Injection Flaws） ? 惡意文件執(zhí)行 ? 不安全的直接對象引用 ? 跨站點請求偽造（ CSRF） ? 信息泄露和錯誤處理不當 ? 殘缺的認證和會話管理 ? 不安全的加密儲存 ? 不安全的通信 ? 限制 URL訪問失效 JAVA安全編程 ——OWASP TOP 10 AND ESAPI 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 22 ? 安全測試 – 安全測試與滲透測試 ? 出發(fā)點與目的 ? 成本 ? 測試對象 ? 覆蓋 /完備 /度量 ? 解決方案 ? 過程 參與 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 – 對 HTTP所有內容進行校驗 除需對傳統 的 HTTP GET、 POST等數據進行嚴格校驗外，還應對 HTTP內所有可能使用到的字段進行校驗，防止字段中包含惡意字符而污染程序，如 ： ?Referer ?Host ?Cookie ?…… 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。據美國國家標準局（ NIST）早年發(fā)表的一份調查報告估計，更好的安全控制措施將為后期安全整改的總體成本節(jié)省三分之一以上的費用，且有效規(guī)避 70%以上由于軟件安全隱患所引發(fā)的安全 事件。 7Safe 2023/11/10 DBAppsecurtiy 2023 3 ? 簡介 ? 安全需 求分析 ? 安全設計 ? 安全編程 ? 安全測試 ? 安全部署 及安全響應 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。例如，對一個網絡軟件的設計，它需要監(jiān)聽那些網絡端口，是否可以減少監(jiān)聽端口的數目？那些用戶可以與這些端口建立連接，是否要加強身份驗證 ？ ?深層防御。 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。因此，需要事先制訂對應的相應模式，包括： ? （內部或外部發(fā)現的）安全漏洞以何種途徑匯報 ? 如何評估安全漏洞的嚴重級別 ? 開發(fā)安全補丁的流程 ? 測試安全補丁的流程 ? 發(fā)布安全補丁的流程 ? 如何在以后開發(fā)中避免類似的安全漏洞，等等 軟件安全開發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 35 OWASP WHAT IS AN ENTERPRISE SECURITY API? OWASP ESAPI PROJECT SCORECARD Authentication Identity Access Control Input Validation Output Escaping Canonicalization Encryption Random Numbers Exception Handling Logging Intrusion Detection Security Configuration WAF 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 40 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secur