《软件安全》课件第2章-软件漏洞概述.pptx
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《《软件安全》课件第2章-软件漏洞概述.pptx》由用户(momomo)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 软件安全 软件 安全 课件 漏洞 概述
- 资源描述:
-
1、软件安全1234目 录CONTENTS软件安全概述软件漏洞概述成功项目展示明年工作计划Part章 节02软件漏洞概述l 经典安全事件l 漏洞的定义l 漏洞的危害2.1漏洞的概念 2003年8月11日爆发的W32.Blastcr.Worm蠕虫病毒很好地例证了软件中的安全缺陷是如何让我们变得易受攻击的。Blaster可以在毫无用户参与的情况下感染任何一台连接到互联网上未打补丁的计算机系统。微软提供的数据显示,至少有800万个Windows系统被该蠕虫感染。Blaster的主要破坏力在于使用户无法正常使用自己的机器,并且能够渗透整个局域网,感染的用户必须设法删除该蠕虫并且升级系统才能正常工作。原来,
2、LSD 研究小组发现了RPC(可用于通过TCP/IP交换信息)中存在一个缓冲区溢出漏洞,成因在于对“畸形”信息的错误处理。后来一个名为Xfocus的安全研究小组发布了该漏洞的利用代码。根据评估,Blaster蠕虫所造成的经济损失至少达5.25亿美元,可实际上它很容易造成更大的破坏例如,它删除被感染计算机上的文件。2.1漏洞的概念2.1.1经典安全事件漏洞,通常也称为脆弱性(vulnerability),RFC 2828将漏洞定义为“系统设计、实现或操作和管理中存在的缺陷或弱点,能被利用而违背系统的安全策略”。可见,漏洞是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足。漏
3、洞一旦被发现,攻击者就可利用这个漏洞获得计算机系统的额外权限,在未授权的情况下访问或破坏系统,从而危害计算机系统安全。2.1漏洞的概念2.1.2漏洞的定义l 非法获取访问权限:访问权限,是访问控制的访问规则,用来区別不同访问者对不同资源的访问权限,不同级別的用户则拥有不同的访问权限。l 权限提升:当前较低的账户权限提升到 史高级别的用户权限。l 拒绝服务:使计算机软件或系统无法正常工作、无法提供正常的服务l 恶意软件植入:分为主动植入与被动植入。l 数据丢失或泄露:是指数据被破坏,删除或者被非法读取。l 造成巨大的损失2.1漏洞的概念2.1.3漏洞的危害l 损失的现状:RSA发现了广泛使用开放
4、式论坛,特别是社交媒体,被网络犯罪分子利用来进行交流,并成为网络犯罪的一般全球庇护所。在全球范围内,梳理是最受欢迎的诈骗活动,占RSA观察到的53的职位。除了单一的企业观点之外,追踪全球性,跨行业,跨渠道和跨设备的网络犯罪发展对于识别和面对新的威胁和攻击的组织来说是必不可少的。图1 各种类型的经济损失l 技术因素l 经济因素l 应用环境因素l 漏洞产生的条件2.2漏洞的产生l 软件规模复杂度增大:软件系统规模的迅速膨胀及内部结构的日益复杂,直接导致软件系统复杂性的提高,而目前学术界普遍认为,软件系统代码的复杂性是导致软件系统质量难于控制,安全性降低,漏洞产生的重要原因。l 开源软件的问题:(1
5、)若公用模块中存在一个安全漏洞,那么随着该公用模块的广泛传播,漏洞的危害也会传播且有可能不断被放大;(2)在开源社区中,对源代码中安全补丁的修复及管理上不能准确及时地进行,甚至出现没有人修复的情况,或者开发商没有及时关注补丁信息;(3)某些恶意攻击者通过分析公用模块的源代码更加容易发现或利用公用模块中的漏洞,甚至直接开发带有恶意代码甚至后门的源代码公用模块2.2漏洞的产生2.2.1技术因素l 软件的安全性不是显性价值:厂商要实现安全性就要额外付出巨大的代价,但厂商一般不愿花费这笔钱l“柠檬市场”效应的出现:软件系统的安全质量形成了一个典型的非对称信息案例,即产品的卖方对产品质量比买方有更多信息
6、。好的商品遭受淘汰,而劣等品会逐渐占领市场并取代好的商品,导致市场中都是劣等品。在这种市场之下,厂商更加重视软件系统的功能、性能、易用性,而不愿意在安全质量上做大的投入2.2漏洞的产生2.2.2经济因素l 软件系统运行环境发生改变:从传统的封闭、静态和可控变为开放、动态和难控l“网构软件”的出现:网构软件是在面向对象、软件构件等技术支持下的软件实体以主体化的软件服务形式存在于 Internet的各个节点之上,各个软件实体相互间通过协同机制进行跨网络的互联、互通、协作和联盟,从而形成一种与WWW相类似的软件Web(Software web)。它一方面导致了面向Web应用的跨站脚本、SQL注入等漏
展开阅读全文