刍议计算机软件安全检测技术的应用.docVIP

刍议计算机软件安全检测技术的应用 　　摘要：随着计算机技术和网络技术的快速发展，计算机软件也日趋复杂，软件是计算机重要的核心内容，是保证计算机安全和通信安全的基础，对计算机安全运行和日常维护具有重要的意义，而编写计算机软件和检测是防止计算机安全漏洞的重要的对策，下面我们就详细进行分析计算机软件安全检测技术及其应用。 　　关键词：计算机软件；安全检测技术；应用 　　中图分类号：TP311.52 文献标识码：A 文章编号：1007-9599 （2013） 02-0000-03 　　随着计算机技术和互联网的快速发展，用户对于软件的需求也日渐复杂，软件中会存在难以发现的漏洞，只有确保软件的安全才能保证计算机通信、信息安全，否则即便防火墙、杀毒软件、入侵检测等再强大，若软件自身存在安全隐患，也无法提升整体安全性能[1]。计算机软件安全检测的目的主要是为了防止由于软件漏洞对计算机造成安全威胁，对计算机软件安全检测技术的研究及应用对保证计算机软件安全具有重要的作用和价值。 　　1 软件安全漏洞概述 　　软件安全漏洞即可能引发安全问题的软件中的代码。漏洞通常有以下信息披露地方。（1）Bugtraq。这是一项邮件列表服务，是专门针对安全性问题存在的邮件讨论列表。很多软件漏洞首先在这里被披露，它是重要的安全入侵新闻来源。（2）PISKS Digest。它同样是一个邮件列表服务，包括安全性、保密性、可靠性等，有很高的技术含量，是目前已经发表的计算机软件安全研究圈内，有效攻击首选地方之一。目前计算机软件安全漏洞常常被忽略主要有以下几点：（1）Zgeronimo2.0 这个安全漏洞主要是让远程攻击者能够绕过身份识别而在计算机软件中插入恶意代码或者访问的权限。（2）LIBTIFF开源软件库，其主要是为了读写标签图像文件格式的文件。（3）ZLIB主要是指用于数据压缩的软件库，计算机软件漏洞主要是通过一个不完整的代码进行解释长度大于1的代码造成的安全漏洞。（4）Net―SNMP，是指安全漏洞存在Net中或者存在SNMP中的协议文件里。在计算机软件系统中当“master agents”模式运行NET_SNMP时，软件可以让攻击者通过引起一个特征的TCP的连接中断达到拒绝服务的攻击，最终造成计算机系统崩溃的现象。（5）Jboss应用服务器主要是应用在服务器3.2.4至4.05版的“DeploymentFileRepository”类中的目录遍历的安全漏洞。 　　2 软件中存在的安全漏洞及缺陷 　　计算机软件安全是一个非常复杂的系统，其主要是通过计算机系统的完整性、保密性以及可靠性实现计算机软件的安全可靠。但是计算机软件运行的过程中，由于计算机或者软件自身的缺陷或者操作配置失误等因素造成计算机软件从操作系统到应用程序，从通信基础设施到网络的应用服务以及从系统的配置和管理到用户操作层面等诸多的方面都存在安全因素。 　　目前多采用C语言或C++编写协议通信软件，软件的安全漏洞潜在程序源代码中，可以引发编程遗漏或错误。软件安全漏洞主要有：（1）缓冲区溢出。这种软件漏洞主要是在程序的缓冲区写超出长度的内容，进而造成缓冲区溢出，最终造成的最直接结果是导致堆栈被摧毁，使得任意数据都能引起目标程序彻底崩溃；缓冲区溢出是一种非常普通而且危险的漏洞，其在计算机软件和操作系统中广泛存在，缓冲区溢出很容易造成程序运行失败、系统宕机、重新启动等后果的发生，利用它执行非常授权的指令，进而造成计算机软件漏洞的产生。（2）竞争条件。这是一项经常出现的软件BUG，其相对于缓冲区溢出漏洞来说，其更加难解决，造成这种漏洞发生的原因主要是由于每一个用户登录网站后，函数就会出现被调用的现象，进而会造成竞争条件的值增加，最终到时竞争条件问题的发生，如果在操作的多进程多任务系统里面出现这种现象，将会造成死锁等严重的后果；（3）格式化字符串。格式化字符串是程序函数中一个相对比较特殊的字符串的参数。此漏洞是一项微妙的程序代码缺陷，它可以将重要的信息显示出来，还能将指定数据写入进程的内存空间里；进而对系统造成危害（4）随机数。在Netscape中就存在有随机数的现象，其采用一种不好的方法给伪随机数进行播种，其种子主要是有进行ID和机器时间等决定的，造成攻击者和被攻击者使用同一机器，从而造成系统密码的破解，最终造成系统安全问题的发生。并且随机数它能够生成序列号及密钥。也是软件安全漏洞的重要组成部分。 　　3 计算机软件安全检测技术方法 　　3.1 计算机软件安全监测步骤 　　通常，计算机软件有一定数量的子系统组成的软件规模比较大，并且不同的子系统中有若干的模块组成。计算机软件安全检测主要是为了确定软件预期设计和软件具有的安全实现是否一致的检测过程，其中软件检测过程主要包括功能测试、渗