软件安全-0典型软件安全问题与威胁分析.ppt

软件安全－ UESTC-INTEL IA JOINT LAB ? 平台是指程序在其中所运行的环境，包括操作 系统以及与之交互的组件。 ? 威胁的来源： ? 软件与用户的交互 ? 软件与网络交互 ? 软件与文件系统交互 ? 软件依赖 OS 产生新的子进程 ? 软件与其他进程通信 ? 其他 软件安全－ UESTC-INTEL IA JOINT LAB 平台问题 1 ：符号链接 ? 符号链接（ Symbolic link, 简写为 symlink ）：文件系统中指向其他文件的文件。符 号链接等效于其指向的文件。程序打开的 是一个符号链接，实际打开的是该符号链 接指向的文件。 软件安全－ UESTC-INTEL IA JOINT LAB 符号链接问题： ? 攻击者可以使用程序预计要操作的文件名 创建一个符号链接，使该文件名指向希望 的文件； ? 利用符号链接，攻击者事实上可以启动系 统中的任何程序。 软件安全－ UESTC-INTEL IA JOINT LAB 针对符号链接： ? 程序员或使用者创建、打开、删除文件，或 更改文件权限，必须检查该文件的符号链接 ，不可以基于文件名做任何安全方面的判定 。 ? 权限攻击的例子：如果程序以攻击者没有的 权限运行，比如作为 SUID （系统用户身份 ），攻击者可以借此发动一次权限提升。 软件安全－ UESTC-INTEL IA JOINT LAB 平台问题 2 ：目录遍历 ? 典型例子： ? CIFS 是 WINDOWS 的文件共享协议，允许 计算机通过网络访问彼此的文件系统。 ? 利用目录遍历，攻击者可通过使用“ ..” 符 号上升到文件系统的上一级目录，从而对 文件共享程序进行欺骗，进而获得对不在 共享目录下的目录进行访问。 软件安全－ UESTC-INTEL IA JOINT LAB 平台问题 3 ：字符转换 ? 平台支持不同类型的字符编码，存在多种不同 的表示某个字符的方式。 ? 程序接受用户的输入，为了满足安全需求，通 常会要求进行安全检查，以确保输入的字符串 对该程序设计是有效的。 ? 当平台进行升级的时候可能会引入新的字符编 码。 软件安全－ UESTC-INTEL IA JOINT LAB 字符转换问题例子： ? MS IIS5.0 的一个有名的漏洞：按照安全设计， 只允许执行脚本所在目录下的程序，但攻击者 却可以执行服务器上的任何程序。 ? 在 IIS5 中，对用户的请求会进行检查，确保没 有“ ../” 这样的字符串。“ ../” 允许攻击者指定位 于脚本目录之外的程序。 ? IIS5 检查了“ ../” ，但是没有考虑到这个字符串 会以其他编码形式存在。 软件安全－ UESTC-INTEL IA JOINT LAB 常见的应用程序安全问题 ? 引起原因： ? 应用程序的某个组件的恶意数据引起，这 些恶意数据在其另一个组件中被当作了合 法代码； ? 对涉密信息的不当处理 软件安全－ UESTC-INTEL IA JOINT LAB 应用安全问题 1 ： SQL 注入 ? 攻击者通过操纵程序的某种输入，在连接到 SQL 数据库的应用程序上执行自己所构造的查 询。 ? 预防 SQL 攻击方法： ? 过滤所有输入，确保输入字段只包含所需要的字 符； ? 尽量避免使用动态生成的 SQL 。 软件安全－ UESTC-INTEL IA JOINT LAB 应用安全问题 2 ：跨站点执行脚本 ? 利用 Internet 上某些环境（或 WEB 站点）的受 信任级别高于其他环境。 ? 来自非受信环境的攻击者可在受信的环境注入 数据，使其在受信环境作为脚本予以执行。 ? 跨站点执行脚本还可以用来访问数据，如用户 cookies 。 软件安全－ UESTC-INTEL IA JOINT LAB 站点 C 站点 A 站点 B C 信任 A A 信任 B 软件安全－ UESTC-INTEL IA JOINT LAB 跨站点执行脚本例子： ? Step1 ， A 使用其信任的金融机构的 WEB 站点， 该站点要求其输入自己的用户名和密码 ? Step2 ， B 编写了一些 JavaScript 代码，用于检 索运行了这些代码的已登录用户的 session ID （会话标识符） ? Step3 ， B 给 A 发送嵌入了这些代码的消息 ? Step4 ， A 阅读 B 的消息，其 session ID 发给了 B ? Step5 ， B 使用 A 的 session ID 对 A 进行会话劫持 ? Step6 ， B 已可以使用 A 的身份使用该站点 软件安全－ UESTC-INTEL IA JOINT LAB 2.6 开发过程问题 ? 安全需求和前提条件的文档记录缺乏 ?