【正文】 2023年 3月 4日星期六 11時(shí) 52分 57秒 11:52:574 March 2023 ? 1空山新雨后，天氣晚來(lái)秋。 :52:5711:52Mar234Mar23 ? 1故人江海別，幾度隔山川。 public void assertAuthorized(Object key, Object runtimeParameter) throws AccessControlException。 7Safe 2023/11/10 DBAppsecurtiy 2023 66 ?使用一定的機(jī)制來(lái)進(jìn)行保護(hù) – 文件加密； – 數(shù)據(jù)庫(kù)加密； – 數(shù)據(jù)元素加密。因此特權(quán)帳戶(hù)會(huì)造成更大的破壞。 ()。?39。 XSS利用站點(diǎn)內(nèi)的信任用戶(hù)，而 CSRF則通過(guò)偽裝來(lái)自受信任用戶(hù)的請(qǐng)求來(lái)利用受信任的網(wǎng)站。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 //we39。 = 39。 7Safe 2023/11/10 DBAppsecurtiy 2023 46 ? 解決之道 ? SQL注入實(shí)例 String sqlString = SELECT * FROM users WHERE fullname = 39。 這些技術(shù)定義一些特殊的“轉(zhuǎn)義”字符。 ?種類(lèi) 已知有三種著名跨站漏洞： 1）存儲(chǔ)式； 2）反射式； 3）基于DOM。而對(duì) SOAP 服務(wù)和對(duì) Windows 服務(wù)執(zhí)行最終安全審查也同樣重要。 – 安全測(cè)試目標(biāo) ? 提升產(chǎn)品安全質(zhì)量 ? 盡量在發(fā)布前兆到安全問(wèn)題予以修補(bǔ)降低成本 ? 度量 安全 – 當(dāng)前安全測(cè)試方法有 ? 模式匹配方法 ,將程序看作字符串 ? 狀態(tài)機(jī)模型 ,將程序看作狀態(tài)機(jī) ? 黑盒模型 ,將程序看作黑盒子 ? 白盒模型 ,將程序看作路徑 的組合 軟件安全開(kāi)發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 – 校驗(yàn) 全部的輸入長(zhǎng)度 通過(guò)限制輸入長(zhǎng)度 ，可以有效的控制一些攻擊使其不給系統(tǒng)帶來(lái)過(guò)大的威脅 ： ?SQL Inject ?XSS ?File Include ?……… 軟件安全開(kāi)發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。由于軟件開(kāi)發(fā)過(guò)程中未進(jìn)行任何有效的安全控制措施，導(dǎo)致軟件開(kāi)發(fā)后由于其固有的安全隱患所引起的安全事件頻頻發(fā)生，給黑客及惡意人員可趁之機(jī)，由此導(dǎo)致的經(jīng)濟(jì)損失不可估量。它是微軟為了面對(duì)現(xiàn)實(shí)世界中安全挑戰(zhàn)，在實(shí)踐中的一步步發(fā)展起來(lái)的軟件開(kāi)發(fā)模式。 7Safe 2023/11/10 DBAppsecurtiy 2023 11 ? 簡(jiǎn)介 ? 安全需 求分析 ? 安全設(shè)計(jì) ? 安全編程 ? 安全測(cè)試 ? 安全部署 及安全響應(yīng) 軟件安全開(kāi)發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 軟件安全開(kāi)發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。誠(chéng)然，大多數(shù) SDL 非實(shí)現(xiàn)要求同樣適用客戶(hù)端 /服務(wù)器和 Web 應(yīng)用程序。 7Safe 2023/11/10 DBAppsecurtiy 2023 38 跨站腳本（ XSS） ?定義 跨站腳本是最普遍的 web應(yīng)用安全漏洞。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。注入漏洞有時(shí)甚至能導(dǎo)致完全接管主機(jī)。 39。 ResultSet results = ()。 Web應(yīng) 用往往在生成 Web頁(yè)面時(shí)會(huì)用它的真實(shí)名字，且并不會(huì)對(duì)所有的目標(biāo)對(duì)象訪問(wèn)時(shí)來(lái)檢查用戶(hù)權(quán)限，所以這就造成了不安全的 對(duì)象直接引用的漏洞。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 if (()) { return href。 //this code is in the DefaultUser implementation of ESAPI public void logout() { ().killCookie( (), (), )。 7Safe 2023/11/10 DBAppsecurtiy 2023 63 殘缺的認(rèn)證和會(huì)話(huà)管理 ? 定義 與認(rèn)證和會(huì)話(huà)管理相關(guān)的應(yīng)用程序功能往往得不到正確實(shí)施，這就導(dǎo)致攻擊者破壞密碼、密匙、會(huì)話(huà)令牌或利用實(shí)施漏洞冒充其他用戶(hù)身份。 這些缺陷可以導(dǎo)致違反披露敏感數(shù)據(jù)的遵守。 7Safe 2023/11/10 DBAppsecurtiy 2023 70 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 74 ? 靜夜四無(wú)鄰，荒居舊業(yè)貧。 2023年 3月 4日星期六 上午 11時(shí) 52分 57秒 11:52: ? 1楚塞三湘接，荊門(mén)九派通。 11:52:5711:52:5711:523/4/2023 11:52:57 AM ? 1越是沒(méi)有本領(lǐng)的就越加自命不凡。 2023年 3月 4日星期六 上午 11時(shí) 52分 57秒 11:52: ? 1比不了得就不比，得不到的就不要。 boolean isAuthorizedForData(String action, Object data)。 7Safe 2023/11/10 DBAppsecurtiy 2023 67 不安全的通信 ? 定義 對(duì)于不加密的應(yīng)用程序的網(wǎng)絡(luò)信息傳輸，需要保護(hù)敏感的通信。 – 確保在一開(kāi)始登錄 SSL保護(hù)的網(wǎng)頁(yè)。 (, “Logout successful” )。 if (user == null) return null。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。除非名字空間很稀疏，否則攻擊者很容易訪問(wèn)該類(lèi)型的所有數(shù)據(jù)。 myStmt = (query)。 7Safe 2023/11/10 DBAppsecurtiy 2023 47 使用 PreparedStatement()綁定變量 下面的代碼示例使用一個(gè) PreparedStatement， Java的一個(gè)參數(shù)化查詢(xún)的執(zhí)行情況，執(zhí)行相同的數(shù)據(jù) 庫(kù)查詢(xún)。 + () + 39。 需要編碼的部分： HTML實(shí)體 HTML屬性 Javascript CSS URL 下圖像顯示編碼輸出的架構(gòu)。 7Safe 2023/11/10 DBAppsecurtiy 2023 39 ? 解決之道 ? 驗(yàn)證輸入 驗(yàn)證輸入很簡(jiǎn)單 檢查每個(gè)輸入的有效性。 7Safe 2023/11/10 DBAppsecurtiy 2023 30 ? 簡(jiǎn)介 ? 跨站腳本（ XSS） ? 注入漏洞（ Injection Flaws） ? 惡意文件執(zhí)行 ? 不安全的直接對(duì)象引用 ? 跨站點(diǎn)請(qǐng)求偽造（ CSRF） ? 信息泄露和錯(cuò)誤處理不當(dāng) ? 殘缺的認(rèn)證和會(huì)話(huà)管理 ? 不安全的加密儲(chǔ)存 ? 不安全的通信 ? 限制 URL訪問(wèn)失效 JAVA安全編程 ——OWASP TOP 10 AND ESAPI 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 22 ? 安全測(cè)試 – 安全測(cè)試與滲透測(cè)試 ? 出發(fā)點(diǎn)與目的 ? 成本 ? 測(cè)試對(duì)象 ? 覆蓋 /完備 /度量 ? 解決方案 ? 過(guò)程 參與 軟件安全開(kāi)發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 – 對(duì) HTTP所有內(nèi)容進(jìn)行校驗(yàn) 除需對(duì)傳統(tǒng) 的 HTTP GET、 POST等數(shù)據(jù)進(jìn)行嚴(yán)格校驗(yàn)外，還應(yīng)對(duì) HTTP內(nèi)所有可能使用到的字段進(jìn)行校驗(yàn)，防止字段中包含惡意字符而污染程序，如 ： ?Referer ?Host ?Cookie ?…… 軟件安全開(kāi)發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)局（ NIST）早年發(fā)表的一份調(diào)查報(bào)告估計(jì)，更好的安全控制措施將為后期安全整改的總體成本節(jié)省三分之一以上的費(fèi)用，且有效規(guī)避 70%以上由于軟件安全隱患所引發(fā)的安全 事件。 7Safe 2023/11/10 DBAppsecurtiy 2023 3 ? 簡(jiǎn)介 ? 安全需 求分析 ? 安全設(shè)計(jì) ? 安全編程 ? 安全測(cè)試 ? 安全部署 及安全響應(yīng) 軟件安全開(kāi)發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。例如，對(duì)一個(gè)網(wǎng)絡(luò)軟件的設(shè)計(jì)，它需要監(jiān)聽(tīng)那些網(wǎng)絡(luò)端口，是否可以減少監(jiān)聽(tīng)端口的數(shù)目？那些用戶(hù)可以與這些端口建立連接，是否要加強(qiáng)身份驗(yàn)證 ？ ?深層防御。 軟件安全開(kāi)發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。因此，需要事先制訂對(duì)應(yīng)的相應(yīng)模式，包括： ? （內(nèi)部或外部發(fā)現(xiàn)的）安全漏洞以何種途徑匯報(bào) ? 如何評(píng)估安全漏洞的嚴(yán)重級(jí)別 ? 開(kāi)發(fā)安全補(bǔ)丁的流程 ? 測(cè)試安全補(bǔ)丁的流程 ? 發(fā)布安全補(bǔ)丁的流程 ? 如何在以后開(kāi)發(fā)中避免類(lèi)似的安全漏洞，等等 軟件安全開(kāi)發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 35 OWASP WHAT IS AN ENTERPRISE SECURITY API? OWASP ESAPI PROJECT SCORECARD Authentication Identity Access Control Input Validation Output Escaping Canonicalization Encryption Random Numbers Exception Handling Logging Intrusion Detection Security Configuration WAF 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 40 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secur