【正文】 ? 安全部署及安全響應(yīng) 軟件安全開(kāi)發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 – 安全測(cè)試目標(biāo) ? 提升產(chǎn)品安全質(zhì)量 ? 盡量在發(fā)布前兆到安全問(wèn)題予以修補(bǔ)降低成本 ? 度量 安全 – 當(dāng)前安全測(cè)試方法有 ? 模式匹配方法 ,將程序看作字符串 ? 狀態(tài)機(jī)模型 ,將程序看作狀態(tài)機(jī) ? 黑盒模型 ,將程序看作黑盒子 ? 白盒模型 ,將程序看作路徑 的組合 軟件安全開(kāi)發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 21 ? 安全測(cè)試 – 假設(shè)條件 ? 測(cè)試：導(dǎo)致問(wèn)題的數(shù)據(jù)是用戶(hù)不小心構(gòu)成的 (只考慮提供給用戶(hù)的界面） ? 安全測(cè)試：導(dǎo)致問(wèn)題的數(shù)據(jù)是攻擊者處心積慮構(gòu)成的（考慮所有攻擊界面，包括可污染 /滲透?jìng)鬟f的界面） – 思考域 ? 測(cè)試：功能本身 ? 安全測(cè)試：功能，系統(tǒng)機(jī)制，外部環(huán)境，應(yīng)用與數(shù)據(jù)自身安全風(fēng)險(xiǎn)與安全屬性 – 問(wèn)題發(fā)現(xiàn)模式 ? 測(cè)試：違反功能定義的輸出 ? 安全測(cè)試：違反權(quán)限，能力與約束 – 黑盒：狀態(tài)或行為異常 – 灰盒：未完備的約束檢測(cè) – 靜態(tài)白盒：基于規(guī)范 軟件安全開(kāi)發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 23 軟件安全開(kāi)發(fā)生命周期 – 安全自身要素 ? 安全包括了三個(gè)層 次 – 安全功能（特性） – 安全策略（部署， 配置 ， 全局設(shè)計(jì)準(zhǔn)則） – 安全 實(shí)現(xiàn) – 安全測(cè)試是對(duì)以上幾個(gè)層次的驗(yàn)證和 度量 – 外部防護(hù)系統(tǒng)是一種補(bǔ)充保護(hù) 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 25 ? 安全測(cè)試 – 黑盒思路：基于功能與邊界值 ? FUZZ ? 智能 FUZZ ? 全局?jǐn)?shù)據(jù)結(jié)構(gòu) – 白盒思路：基于路徑 ? 源碼審計(jì) ? 二進(jìn)制靜態(tài)分析 ? 二進(jìn)制數(shù)據(jù)流動(dòng)態(tài)追蹤分析 軟件安全開(kāi)發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 27 ? 安全部署及安全響應(yīng) – 安全部署 軟件需提供相應(yīng)的文檔和工具，指導(dǎo)用戶(hù)如何安全的使用 。因此，需要事先制訂對(duì)應(yīng)的相應(yīng)模式，包括： ? （內(nèi)部或外部發(fā)現(xiàn)的）安全漏洞以何種途徑匯報(bào) ? 如何評(píng)估安全漏洞的嚴(yán)重級(jí)別 ? 開(kāi)發(fā)安全補(bǔ)丁的流程 ? 測(cè)試安全補(bǔ)丁的流程 ? 發(fā)布安全補(bǔ)丁的流程 ? 如何在以后開(kāi)發(fā)中避免類(lèi)似的安全漏洞，等等 軟件安全開(kāi)發(fā)生命周期 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 29 ? 概述 在公開(kāi)提供的 SDL 文檔中，找不到專(zhuān)門(mén)針對(duì)如何保護(hù) Web 應(yīng)用程序或在線服務(wù)的指南。就象威脅模型對(duì) Web 窗體應(yīng)用程序與 Windows174。而對(duì) SOAP 服務(wù)和對(duì) Windows 服務(wù)執(zhí)行最終安全審查也同樣重要。 基于 WEB應(yīng)用程序的 SDL 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 31 簡(jiǎn)介 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。它本身是開(kāi)源的，同時(shí)提供 JAVA版本和 .NET版本。 7Safe 2023/11/10 DBAppsecurtiy 2023 33 WHAT IS AN ENTERPRISE SECURITY API? THE ESAPI FAMILY COMMUNITY BREAKDOWN 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 35 OWASP WHAT IS AN ENTERPRISE SECURITY API? OWASP ESAPI PROJECT SCORECARD Authentication Identity Access Control Input Validation Output Escaping Canonicalization Encryption Random Numbers Exception Handling Logging Intrusion Detection Security Configuration WAF 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 37 ? 下圖簡(jiǎn)單呈現(xiàn) ESAPI如何運(yùn)作 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 當(dāng)應(yīng)用程序在發(fā)送給瀏覽器的頁(yè)面中包含用戶(hù)提供的數(shù)據(jù)，但沒(méi)有經(jīng)過(guò)適當(dāng)驗(yàn)證或 轉(zhuǎn)譯 那些內(nèi)容，這就導(dǎo)致跨站腳本漏洞 。 ?種類(lèi) 已知有三種著名跨站漏洞： 1）存儲(chǔ)式； 2）反射式； 3）基于DOM。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 這可能意味著很多東西，但在典型的和簡(jiǎn)單的情況下，這意味著檢查輸入類(lèi)型和數(shù)據(jù)的長(zhǎng)度。 并非所有 的案件都如此簡(jiǎn)單，但很多是相似的。 這里的關(guān)鍵是，一切都進(jìn)行驗(yàn)證，所有的輸入，這并不來(lái)自于應(yīng)用程序（包括用戶(hù)輸入，請(qǐng)求頭， Cookie，數(shù)據(jù)庫(kù)數(shù)據(jù) ...）。 7Safe 2023/11/10 DBAppsecurtiy 2023 40 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 boolean isValidFirstName = ().isValidInput(FirstName, (), FirstNameRegex, 255, false)。 7Safe 2023/11/10 DBAppsecurtiy 2023 42 ? 編碼輸出 對(duì)驗(yàn)證輸入的另一面就是編碼輸出。 這些技術(shù)定義一些特殊的“轉(zhuǎn)義”字符。 編碼輸出只是讓瀏覽器知道數(shù)據(jù)是不是要被解析，達(dá)到攻擊無(wú)法實(shí)現(xiàn)的目的。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 7Safe 2023/11/10 DBAppsecurtiy 2023 44 ?實(shí)例 1——HTML實(shí)體編碼 //performing input validation String cleanComment = ().getValidInput(ment, (ment), CommentRegex, 300, false, errorList)。 ?實(shí)例 2——URL編碼 //performing input validation String cleanUserName = ().getValidInput(userName, (userName), userNameRegex, 50, false, errorList)。 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 ? 危害 注入能導(dǎo)致數(shù)據(jù)丟失或數(shù)據(jù)破壞、缺乏可審計(jì)性或是拒絕服務(wù)。 ? 種類(lèi) SQL注入、 XPATH注入、 LDAP注入、 OS命令注入等。 7Safe 2023/11/10 DBAppsecurtiy 2023 46 ? 解決之道 ? SQL注入實(shí)例 String sqlString = SELECT * FROM users WHERE fullname = 39。 AND password = 39。 正常： username=tony， password=123456 SELECT * FROM users WHERE username = tony39。12345639。 OR 39。 = 39。 AND password = 39。 OR 39。 = 39。 ? 參數(shù)化查詢(xún)預(yù)處理 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 String custname = (customerName)。 PreparedStatement pstmt = ( query )。 ResultSet results = ( )。 7Safe 2023/11/10 DBAppsecurtiy 2023 48 String custname = (customerName)。 (1, custname)。 // … result set handling } catch (SQLException se) { // … logging and error handling } 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 //we39。 + ().encodeForSQL( ORACLE_CODEC, validatedStartDate) +39。 ... //execute statement and get results 7Safe Company Overview 2023 Dan Haagman, InfoSecurity 2023 Secure Coding Course, 169。 ? 危害 攻擊者可利用惡意文件執(zhí)行漏洞進(jìn)行攻擊取得 WEB服務(wù)器控制權(quán)，進(jìn)行不法利益或獲取經(jīng)濟(jì)利益。 7Safe 2023/11/10 DBAppsecurtiy 2023 51 if (!().isValidFileName(upload, filename, allowedExtensions, false)) { throw new ValidationUploadException(Upload only simple filenames with the followi