软件开发安全性设计-PPT课件.pptx

1、软件开发安全性设计主讲内容软件安全的概念安全漏洞风险管理框架安全开发生命周期软件安全的七个接触点n软件安全的概念软件安全的概念第一部分许多关键基础设施取决于计算机安全关于软件安全的相关报道软件安全的概念出现软件故障现象的原因是软件存在漏洞。“任何软件，不论它看起来是多么安全，其中都隐藏漏洞”。软件安全的目的是尽可能消除软件漏洞，确保软件在恶意攻击下仍然正常运行。报告给CERT/CC的与安全相关的软件弱点软件安全问题加剧的三个趋势互联性多数计算机与Internet相连多数软件系统互联于Internet可扩展性通过接受更新或者扩展件使系统升级复杂性代码行数增加、网络式、分布式Windows操作系统

2、复杂性n安全漏洞安全漏洞第二部分安全漏洞安全漏洞安全漏洞所有的软件都存在潜伏的漏洞安全必须经过长时间实际运行证明软件安全漏洞可分为两大类：设计漏洞实现漏洞设计漏洞示例Microsoft Bob是作为Windows ME和Windows 98的辅助程序而设计的，其中包含一个设置系统密码的工具。当用户试着输了三次（不正确）密码时，Bob将弹出如下的信息：“我想你忘记了你的密码，请输入一个新的密码。”然后，就允许用户修改密码，即使不知道老密码。常见的安全设计问题密码技术使用的败笔创建自己的密码技术选用了不当的密码技术依赖隐蔽式安全编写到程序中的密钥错误的处理私密信息对用户及其许可权限进行跟踪会话管理

3、薄弱或缺失身份鉴别薄弱或缺失授权薄弱或缺失常见的安全设计问题有缺陷的输入验证未在安全上下文环境中执行验证验证例程不集中不安全的组件边界薄弱的结构性安全大的攻击面在过高权限级别上运行进程没有纵深防御失效时处理不安全常见的安全设计问题其他代码和数据混在一起错将信任寄予外部环境不安全的默认值未作审计日志实现漏洞示例2001年的红色代码（Code Red）蠕虫利用Microsoft的IIS Web服务器的软件缺陷。字符串变量是Unicode字符类型的（每个字符占用两个字节），在计算缓冲区的时候应该是偏移量为2，但IIS在计算缓冲区大小的时候却按照偏移量为1错误的计算缓冲区。导致在14个小时内，就有35

4、9000台机器感染了红色代码蠕虫。几个常见致命安全漏洞缓冲区溢出SQL注入跨站脚本缓冲区溢出当一个程序允许输入的数据大于已分配的缓冲区大小时，缓冲区溢出就会发生。有些语言具有直接访问应用程序内存的能力，如果未能处理好用户的数据就会造成缓冲区溢出。C和C+是受缓冲区溢出影响的两种最常见的编程语言。缓冲区溢出造成的后果小到系统崩溃，大到攻击者获取应用程序的完全控制权。1988年，第一个Internet蠕虫Morris蠕虫就是对finger服务器攻击，造成缓冲区溢出，几乎导致Internet瘫痪。SQL注入通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶

5、意的SQL命令。任何可以与数据库交互的编程语言都可能出现SQL注入漏洞。SQL注入的最大的威胁是攻击者可以获得隐私的个人信息或者敏感数据；也可能导致服务器甚至网络的入侵。SQL注入public static boolean doQuery(String Id) try Statement st=.; ResultSet rs=st.executeQuery(“SELECT conum FROM cust WHERE id=”+Id); while(rs.next() . catch 如果传递来的参数是“1 or 21 -”，则执行SQL语句： SELECT conum FROM cust WH

6、ERE id=1 or 21 -跨站脚本跨站脚本（XSS，Cross-site Scripting）漏洞是一类专门针对Web应用程序的漏洞，它会使得产生漏洞的Web服务器绑定的用户数据（通常保存在cookie中）被泄露给恶意的第三方。所谓“跨站”是指；当一个客户端访问了可正常提供服务但是有漏洞的Web服务器后，cookie从此客户端传递给了攻击者控制的站点。任何用于构建网站的编程语言或者技术都可能受到影响。跨站脚本跨站脚本 . Employee ID: XSS测试语句之一： alert(document.cookie)其他致命安全漏洞 格式化字符串 整数溢出 命令注入 未能处理错误信息 未能保

7、护好网络流量 使用Magic UPL及隐藏表单字段 未能正确使用SSL和TLS 使用基于弱口令的系统 未能安全的存储和保存数据 信息泄露 不恰当的文件访问 清新网络域名解析 竞争条件 未认证的密钥交换 密码学强度随机数 不良可用性解决软件安全的方法Gary McGraw博士应用风险管理软件安全的接触点（最优化方法）知识微软：可重复的流程工程师教育度量标准和可测量性 风险管理框架“安全就是风险管理”。风险就是在项目过程中有可能发生的某些意外事情。例如：缺少对开发工具的培训。风险管理的关键：随着软件项目的展开，不断的确定和追踪风险。RMF的基本思想：随时间变化，对软件安全进行确定、评级、追踪和理解

8、。Cigital的风险管理框架（RMF） 测量和报告理解商业环境1 确定商业和技术风险工件分析2综合考虑并对风险分析3实施修复并进行验证5定义降低风险的策略4某软件项目的风险管理计划项目风险管理计划项目风险管理计划风险识别风险识别风险评估风险评估风险应对措施风险应对措施潜在风险潜在风险后果后果可能可能性性严重严重性性应急措施应急措施预防措施预防措施客户的需求不明客户的需求不明确确客户不接受产品客户不接受产品或拒绝付款或拒绝付款59按照客户的要求按照客户的要求修改修改事先进行需求评事先进行需求评审审项目范围定义不清楚项目没完没了89按照客户要求变更事先定义清楚并由客户确认项目目标不明确项目进度拖

9、延或成本超支68修改项目目标实现明确项目目标与客户沟通不够软件不能满足客户需求59立即与客户进行沟通制定沟通管理计划微软：可信赖计算安全开发生命周期SDLC 微软安全培训安全培训启动安全启动安全并注册并注册SWI安全设安全设计最优计最优方法方法安全体系结构安全体系结构和攻击面和攻击面审核审核 威胁威胁 建模建模使用安全使用安全开发工具开发工具和最优开和最优开发和测试发和测试方法方法为产品为产品创建安创建安全文档全文档和工具和工具预备预备安全安全反应反应计划计划安全安全推动推动渗透渗透测试测试最终最终安全安全审核审核安全安全服务服务和和反应反应执行执行需求需求设计设计实现实现验证验证发行发行 支

10、持支持和和服务服务Gary McGraw：软件安全接触点（最优化方法）需求和需求和使用案例使用案例体系结构体系结构和设计和设计测试计划测试计划代码代码测试和测试和测试结果测试结果从应用领从应用领域的反馈域的反馈滥用案例滥用案例安全需求安全需求风险分析风险分析基于风险的基于风险的安全测试安全测试代码审核代码审核（工具）（工具）风险分析风险分析渗透测试渗透测试安全操作安全操作利用工具进行代码审核 需求和需求和使用案例使用案例体系结构体系结构和设计和设计测试计划测试计划代码代码测试和测试和测试结果测试结果从应用领从应用领域的反馈域的反馈滥用案例滥用案例安全需求安全需求风险分析风险分析基于风险的基于风

11、险的安全测试安全测试代码审核代码审核（工具）（工具）风险分析风险分析渗透测试渗透测试安全操作安全操作代码审核所有的软件项目有一个共同的工件源代码。大量的安全问题都是由可以在代码中发现的简单缺陷引起的，例如缓冲区溢出漏洞与SQL注入漏洞。代码审核就是为了查找和修复存在于源代码中的缺陷。代码审核可以手工审核或者使用静态分析工具进行审核。静态分析工具审核速度快，并不需要操作人员具有丰富的安全专业知识。25个最危险的编程错误 组件间不安全的交互：这些缺陷与数据在单独的组件、模块、程序、进程、线程或系统之间不安全发送和接受方法有关。CWE-20：不适当的输入验证 ；CWE-116：不正确的编码或输出转义

12、； CWE-89：SQL查询结构保护失败(又名“ SQL注入”) ；CWE-79：网页结构保护失败(又名“跨站脚本攻击”) ；CWE-78：操作系统命令结构保护失败；CWE-319：明文传输的敏感信息； CWE-352：伪造跨站请求(CSRF)； CWE-362：竞争条件 ；CWE-209：错误消息的信息泄漏； 25个最危险的编程错误 危险的资源管理：此类缺陷与软件没有妥善管理创造、使用、转让或取消重要的系统资源有关。CWE-119：对内存缓冲区边界操作限制失败 ；CWE-642：外部控制的临界状态数据；CWE-73：外部控制的文件名或路径 ；CWE-426：不可信的搜索路径； CWE-94：

13、代码生成控制失败(又名“代码注入” ) ；CWE-494：下载的代码未进行完整性检查 ；CWE-404：资源关闭或释放不正确； CWE-665：不正确的初始化； CWE-682：不正确的运算(如出现整数溢出等错误)。 25个最危险的编程错误 可穿透的防范措施：这一类缺点与防御技术的经常误用、滥用，或彻底忽略有关。CWE-285：不正确的访问控制(授权) ；CWE-327：使用一个被攻破的或危险的加密算法 ；CWE-259：硬编码的密码 ；CWE-732：对关键资源的使用权限不安全的分配 ；CWE-330：使用不够有效的随机值 ；CWE-250：给予没有必要的权限；CWE-602：服务器端的安全

14、由客户端实施。 Fortify Fortify SCA是发现软件安全漏洞隐患最全面和分析最完整的产品。 它使用特有的成熟的五大软件安全分析引擎、最全面最广泛的软件安全代码规则集和fortify公司特有的X-Tier Dataflow analysis技术去检测软件安全问题。 Fortify专门的分析器 数据流分析器语义分析器控制流分析器配置流分析器结构分析器静态分析工具FindBugs 有了静态分析工具，就可以在不实际运行程序的情况对软件进行分析。FindBugs 是一个静态分析工具，它检查类或者 JAR 文件，将字节码与一组缺陷模式进行对比以发现可能的问题。FindBugs 的 缺陷清单及说

15、明。Findbugs eclipse插件使用指南 其他源代码分析工具CoverityOunce LabsSecure software体系结构风险分析 需求和使用案例体系结构和设计测试计划代码测试和测试结果从应用领域的反馈滥用案例安全需求风险分析基于风险的安全测试代码审核（工具）风险分析渗透测试安全操作体系结构风险分析50%的软件安全问题是有设计瑕疵引起的。因此需要对设计和说明书进行审核分析。设计人员、架构人员和分析人员应该用文档清晰的记录各种前提假设，并确定可能的攻击。安全分析人员揭示体系结构瑕疵，对它们评级，并开始进行降低风险的活动。Cigital采用的体系结构风险分析的简单过程图文档文档

16、攻击攻击图图攻击攻击模式模式安全的安全的设计文献设计文献进行攻击进行攻击抵抗力分析抵抗力分析进行不确进行不确定性分析定性分析进行底层框进行底层框架弱点分析架弱点分析文档文档需求需求体系结体系结构文档构文档规则性需求规则性需求/ 工业标准工业标准文档文档外部资源外部资源l邮件清单邮件清单l产品文档产品文档攻击模式攻击模式确定一般瑕疵确定一般瑕疵l非编译非编译l显示何处没显示何处没 有遵循方针有遵循方针映射映射可实施的可实施的攻击模式攻击模式显示体系结显示体系结构中的风险构中的风险和驱动程序和驱动程序显示对类似显示对类似技术的已知技术的已知攻击的生存攻击的生存能力能力考虑设计考虑设计含义含义产生单

17、独产生单独的体系结的体系结构图文档构图文档统一的理解统一的理解l揭示不确定性揭示不确定性l确定下游的确定下游的 困难度困难度l解开缠绕解开缠绕l揭示糟糕的揭示糟糕的 可追逐性可追逐性在下列位置在下列位置查找和分析查找和分析瑕疵瑕疵lCOTSl框架框架l网络拓扑网络拓扑l平台平台确定应用确定应用程序使用程序使用的服务的服务将弱点映将弱点映射到应用射到应用程序所做程序所做的假设上的假设上文档文档软件软件瑕疵瑕疵体系结体系结构风险构风险评估评估报告报告编写长度为一页的编写长度为一页的体系结构概述体系结构概述 输入输入 活动活动 输出输出微软：STRIDE攻击模型Spoofing identity（欺

18、骗） Tampering with data （篡改）Repudiation （抵赖）Information disclosure （信息泄露）Denial of service （拒绝服务）Elevation of privilege （特权提升）49种攻击模式1.使客户端不可见2.把写入专用OS资源的程序作为目标3.利用用户提供的配置文件运行提高权限的命令4.利用配置文件的搜索路径5.直接访问可执行文件6.在脚本内嵌入脚本7.充分利用不可执行文件中的可执行代码8.参数注入9.命令分隔符10. 多个解析器和双重换码11. 把用户提供的变量传递给文件系统调用12. 后缀NULL终止符49种攻击

19、模式13. 后缀、NULL终止符和反斜线14. 在相对路径间来回移动15. 客户端控制的环境变量16. 用户提供的全局变量17. 会话ID、资源ID和保密委托18. 模拟波段内的切换信号19. 攻击模式片段：操作终端设备20. 简单的脚本注入21. 在非脚本元素种嵌入脚本22. 头中的XSS23. HTTP查询字符串24. 用户控制的文件名49种攻击模式25. 将本地文件名传入到参数为URL的函数中26. 电子邮件头中的元字符27. 文件系统函数注入，基于内容28. 客户端注入，缓冲区溢出29. 导致Web服务器错误分类30. 前导幽灵字符的交替编码31. 在交替编码中使用斜线32. 在交替编

20、码种使用转义斜线33. Unicode编码34. UTF-8编码35. URL编码36. 可替换的IP地址49种攻击模式37. 斜线和URL编码组合在一起38. Web日志记录39. 使二进制资源文件溢出40. 使变量和标记溢出41. 使符号连接溢出42. MIME转换43. Cookie44. 通过缓冲区溢出来过滤错误45. 用环境变量来使缓冲区溢出46. 在API调用中的缓冲区溢出47. 本地命令行工具中的缓冲区溢出48. 参数扩展49. Syslog()中的字符串格式溢出Microsoft的威胁建模软件安全最大的原因就在于软件使用输入外部数据流网络I/O远程过程调用（RFC）外部系统查询

21、文件I/O注册表命名管道，互斥、共享内存，每一个操作系统对象Windows消息其他的操作系统调用Microsoft的威胁建模威胁建模 识别威胁路径 识别威胁 识别漏洞 将漏洞分级/排定优先级Microsoft的威胁建模1.识别威胁路径识别最高风险领域，并确定相应的保护措施确定用户访问类别基于数据流图进行威胁分析构造威胁路径表风险风险访问类别访问类别非常高匿名的远程用户高经身份鉴别的远程用户，且具有文件操纵能力中经身份鉴别的远程用户低本地用户，且具有执行权限非常低本地管理用户用户访问分类示例即时消息（IM）程序服务器数据流图IM用户用户1IM用户用户2验证验证身份信息身份信息/ 身份身份鉴别鉴别

22、帐号管理帐号管理IM聊天聊天引擎引擎身份证明信息身份证明信息身份证明信息身份证明信息确认确认确认确认注册注册注册注册客户帐号信息客户帐号信息客户帐号信息客户帐号信息启动信任信息启动信任信息聊天请求聊天请求用户信息用户信息聊天日志聊天日志具有信任边界的IM数据流图IM用户用户1IM用户用户2验证验证身份信息身份信息/ 身份身份鉴别鉴别帐号管理帐号管理IM聊天聊天引擎引擎身份证明信息身份证明信息身份证明信息身份证明信息确认确认确认确认注册注册注册注册客户帐号信息客户帐号信息客户帐号信息客户帐号信息启动信任信息启动信任信息聊天请求聊天请求用户信息用户信息聊天日志聊天日志1432Microsoft的威

23、胁建模2.识别威胁对于每一条威胁路径，需要逐一理清与处理相关的每一种威胁。高风险活动 数据解析、文件访问、数据库访问 生成子进程、身份鉴别、授权 同步或会话管理、处理私密数据 网络访问Microsoft的威胁建模3.识别漏洞清楚了高风险组件所面临的威胁之后，下一步就是找出可能存在于这些组件中的实际漏洞。如果设计人员未能构建一些安全特性来缓解威胁，威胁就会变成一种漏洞。漏洞搜寻：详细的安全设计审查、安全代码审查、安全测试Microsoft的威胁建模4.将漏洞分级/排定优先级使用DREAD模型适用于分出威胁的严重程度级别的一种有效技术。DREAD代表：潜在的破坏（Damage potential）

24、再现性（Reproducibility）可利用性（Exploitability）受影响的用户（Affected users）可发现性（Discoverability）软件渗透测试 需求和需求和使用案例使用案例体系结构体系结构和设计和设计测试计划测试计划代码代码测试和测试和测试结果测试结果从应用领从应用领域的反馈域的反馈滥用案例滥用案例安全需求安全需求风险分析风险分析基于风险的基于风险的安全测试安全测试代码审核代码审核（工具）（工具）风险分析风险分析渗透测试渗透测试安全操作安全操作渗透测试（Penetration Testing）为保证软件应用程序实现其商业功能需求，通常在软件生命周期运行一系列

25、的动态功能测。传统的测试着重强调特性和功能，但安全并不是一种或一组特性，所以动态功能测试不适合直接用于安全测试。安全测试的核心就是使用白帽和黑帽的概念和方法：保证软件的安全特性像宣传的那样有效，并且保证有意的攻击也不能轻易的危及系统的安全。渗透测试（Penetration Testing）渗透测试是一种“反向测试”，即安全测试人员直接和深入的探测安全风险以确定系统在遭受攻击时的表现。 渗透测试需要以攻击者的角度来思考问题，属于典型的黑盒测试。渗透测试就是利用所有的手段进行测试，发现和挖掘系统中存在的漏洞，然后撰写渗透测试报告，将其提供给客户；客户根据渗透人员提供的渗透测试报 告对系统存在漏洞和

26、问题的地方进行修复和修补。渗透测试最适合于发掘配置问题和其他对软件安全影响较大的环境因素。渗透测试工具基于网站的渗透功能：网站漏洞扫描、cookie注入等工具：IBM Rational AppScan、Php Bug Scanner 基于系统的渗透功能：系统端口或漏洞扫描等工具：nmap、X-Scan、溯雪 基于数据库的渗透功能：SQL注入、数据库弱口令扫描工具：DSQLTools 、mysqlweak 缓冲区溢出漏洞利用工具 功能：导致系统缓冲区溢出工具：sql2 、aspcode 基于风险的安全测试 需求和需求和使用案例使用案例体系结构体系结构和设计和设计测试计划测试计划代码代码测试和测试

27、和测试结果测试结果从应用领从应用领域的反馈域的反馈滥用案例滥用案例安全需求安全需求风险分析风险分析基于风险的基于风险的安全测试安全测试代码审核代码审核（工具）（工具）风险分析风险分析渗透测试渗透测试安全操作安全操作基于风险的安全测试风险分析，特别是在设计级中，可以帮助我们确定潜在的设计级安全问题和它们的影响。一旦风险被确定并进行了评级，就有助于指导软件安全测试。滥用案例 需求和需求和使用案例使用案例体系结构体系结构和设计和设计测试计划测试计划代码代码测试和测试和测试结果测试结果从应用领从应用领域的反馈域的反馈滥用案例滥用案例安全需求安全需求风险分析风险分析基于风险的基于风险的安全测试安全测试代

28、码审核代码审核（工具）（工具）风险分析风险分析渗透测试渗透测试安全操作安全操作滥用案例软件开发人员倾向于根据系统在一切条件满足的情况下的表现来描述软件需求，这将导致以正确的使用为前提而描述系统的规范行为。如果系统会被有意滥用，为了开发出安全、可靠的软件，就必须设法预测异常行为。滥用案例例如：对于一个工资支付系统，可能有这样的用例“系统允许HR管理部门的用户查看和修改所有员工的工资”、“系统只允许基本用户查看自己的工资”。但是对于潜在攻击者，可能会试图获取工资支付系统中的特别权限，以删除所有欺诈交易的证据；或者攻击者设法将工资支付推迟几天以挪用由推迟产生的利息。因此，为开发安全的软件，需要像坏攻

29、击者一样思考问题。滥用案例 如何创建提出一些假设，说明可能出现的问题。仔细考虑负面和意外的事件。向攻击者一样地考虑问题。攻击者：企图使软件以某种不可预料的方式运行，以从中获益。攻击时经常探测的地方：边界条件、边缘、系统之间的通信，以及系统前提假设。聪明的攻击者经常设法破坏建造系统的前提假设。滥用案例的目标之一：软件应该如何对非法使用做出反应。建造滥用案例的简单过程图文档文档需求需求使用使用案例案例攻击攻击模式模式可交付可交付文档文档攻击模型攻击模型l 威胁威胁l 攻击模式攻击模式已评级已评级的误用和的误用和滥用案例滥用案例 输入输入 活动活动 输出输出安全分析人员安全分析人员需求分析人员需求分

30、析人员确定威胁确定威胁文档威胁文档威胁审核威胁审核威胁创建反需求创建反需求创建攻击模型创建攻击模型审核反需求审核反需求审核攻击模型审核攻击模型创建误用案例创建误用案例分析和评级误用分析和评级误用和滥用案例和滥用案例审核已评级的误审核已评级的误用和滥用案例用和滥用案例安全需求 需求和使用案例体系结构和设计测试计划代码测试和测试结果从应用领域的反馈滥用案例安全需求风险分析基于风险的安全测试代码审核（工具）风险分析渗透测试安全操作软件安全与安全操作相结合 需求和使用案例体系结构和设计测试计划代码测试和测试结果从应用领域的反馈滥用案例安全需求风险分析基于风险的安全测试代码审核（工具）风险分析渗透测试安

31、全操作软件安全与安全操作相结合需求：滥用案例设计：商业风险分析设计：体系结构风险分析测试计划：安全测试实现：代码审核系统测试：渗透测试实际部署系统：配置和操作可信赖计算安全开发生命周期 微软安全培训安全培训启动安全启动安全并注册并注册SWI安全设安全设计最优计最优方法方法安全体系结构安全体系结构和攻击面和攻击面审核审核 威胁威胁 建模建模使用安全使用安全开发工具开发工具和最优开和最优开发和测试发和测试方法方法为产品为产品创建安创建安全文档全文档和工具和工具预备预备安全安全反应反应计划计划安全安全推动推动渗透渗透测试测试最终最终安全安全审核审核安全安全服务服务和和反应反应执行执行需求需求设计设计

32、实现实现验证验证发行发行支持支持和和服务服务Microsoft 的SD3+C原则Secure by Design, Secure by Default, Secure in Deployment and munication 设计安全：在架构、设计和实现软件时，应使它在运行时能保护自身及其处理的信息，并能抵御攻击。 默认安全：在现实世界中，软件达不到绝对安全，所以设计者应假定其存在安全缺陷。 部署安全：软件应该随附工具和指导以帮助最终用户和/或管理员安全地使用它。 通信：软件开发者应为产品漏洞的发现做好准备并坦诚负责地与最终用户和/或管理员进行通信，以帮助他们采取保护措施。Windows 实施

33、 SDL 之前和之后的严重和重要安全公告数 SQL Server 2000 实施 SDL 之前和之后的安全公告数 Exchange Server 2000 实施 SDL 之前和之后的安全公告数 谁来实施安全？Microsoft是假定公司或软件开发组织中存在一个中央安全小组，该小组致力于推动最佳安全做法的制订与改进和流程优化，为整个组织提供专家意见，并在软件发布前对其进行审核（最终安全审核或 FSR）。 Microsoft 的经验是在软件设计和开发过程中必须经常与安全小组进行互动，并必须与其共享敏感的技术和商业信息。软件安全人人有责 开发人员必须实施安全工程，保证建造的系统是可防御的而非布满漏洞。 软件操作人员必须继续架构合理的网络，保护它们并维持它们的运行。 管理员必须理解现代系统的分布式本质，并开始实施最低特权原则。 用户必须认识到软件是可以安全的，所以可以与软件供应商合作，共享软件的价值。还必须认识到，在任何设计中用户都是最后的防御阵地。 软件经理主管人员必须认识到，在安全设计和安全分析上尽早投资会有助于提高用户对他们的产品的信任程度。感谢您的聆听！