软件安全编码与软件安全检测培训.pptVIP

软件安全编码和软件安全测试培训 四川分行信息技术管理部 2007.10 目录 简介 缓冲区溢出 SQL注入 2006年全行互联网应用系统安全渗透性测试结果 测试结果综述（续） 技术成因分析： 大部分漏洞为注入式漏洞和弱口令。 漏洞技术成因分布较广泛。 SQL 注入漏洞 39% 弱口令 23% 目录遍历 8% 存在未经验证 访问未授权 3% 跨站 5% 网银客户端 5% 网银系统防重放 2% 其他 15% 渗透性测试漏洞的技术成因分析 渗透性测试漏洞的管理成因分析 管理成因分析： 管理成因包括政策遵循、开发过程和运行维护三个方面。通过上图可以看出，漏洞成因在这三方面分布较平均。 代码安全检测结果 项目名称 规模（代码行数） 高危险漏洞 警告性漏洞 提示性漏洞 测试用时（分） EAIB 143505 6 533 2539 1２ ERP 529075 0 143 7848 25 CCMIS 60382 24 649 894 7 利用FORTIFY工具软件检测出的三个应用系统的漏洞情况 只要有利益，就有人研究和利用漏洞 系统安全编程 冯.诺伊曼结构 存储程序计算机 指令和指令所操作的数据都一起放在内存中 计算机设计的基本原则 用户的输入 所有用户输入都是非法的，除非被证明不是 一半以上的程序安全问题源于缺乏对用户可控数据