开发安全-安全编码与常见漏洞.pptxVIP

开发安全“安全编码与常见漏洞”

1-网络安全形势2-OWASPTOP10漏洞3-其他常见漏洞4-一些漏洞检测的手段

网络安全形势1“没有网络安全就没有国家安全”

1网络安全形势安全问题广泛存在软件应用广泛电脑游戏、火车票售票系统、多媒体教学手机、航天飞机、人造卫星…软件安全问题广泛存在运行错误、售票系统反应慢、连不上、崩溃多媒体教学系统死机黑客盗取泄漏的银行密码、多家酒店客户信息泄露D-Link路由器后门事件… 安全问题日益增加…

1网络安全形势软件缺陷普遍存在千行代码缺陷数量普通软件公司：4～40高级软件公司：2~4美国NASA软件：0.1漏洞数量

1网络安全形势软件安全问题产生的后果软件安全问题的后果造成产品运行不稳定，得不到正确结果甚至崩溃被恶意攻击，导致信息泄漏/数据破坏等后果一些因软件安全问题导致的严重后果售票系统瘫痪美国放射治疗仪超剂量辐射事件阿丽亚纳5号火箭首发失败事件Stuxnet病毒攻击伊朗布什尔核电站心脏起搏器漏洞可远程控制…

1网络安全形势全球高级持续性威胁（APT）高级持续性攻击，又称APT攻击，通常由国家背景的相关攻击组织进行攻击的活动。APT攻击常用于国家间的网络攻击行动，是集合了多种攻击方式的综合攻击。主要通过向目标计算机投放特种木马（俗称特马），实施窃取国家机密信息、重要企业的商业信息、破坏网络基础设施等活动，具有强烈的政治、经济目的。多平台的攻击能力已经成为大量APT攻击者组织的标配能力；0day是最有效的攻击工具，一些组织不计成本来购买或自己挖掘0day来进行攻击。

1网络安全形势全球高级持续性威胁（APT）

1网络安全形势分布式拒绝服务攻击（DDoS）分布式拒绝服务攻击(英文意思是DistributedDenialofService，简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。分布式拒绝服务攻击DDoS是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布的、协同的大规模攻击方式。单一的DoS攻击一般是采用一对一方式的，它利用网络协议和操作系统的一些缺陷，采用欺骗和伪装的策略来进行网络攻击，使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。与DoS攻击由单台主机发起攻击相比较，分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。

1网络安全形势分布式拒绝服务攻击（DDoS）一个完整的DDoS攻击体系由攻击者、主控端、代理端(傀儡机)和攻击目标四部分组成。对于主控端和代理端的计算机，攻击者有控制权或者部分控制权，他们在攻击过程中会利用各种手段隐藏自己不被别人发现。真正的攻击者一旦将攻击的命令传送到主控端，攻击者就可以关闭或离开网络，而由主控端将命令发布到各个代理主机上。这样攻击者可以逃避追踪。每一个攻击代理主机都会向目标主机发送大量的服务请求数据包，这些数据包经过伪装，无法识别它的来源，而且这些数据包所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。甚至导致系统崩溃。

1网络安全形势软件安全问题越早解决成本越低在软件开发生命周期中，后面阶段的改正错误开销比前面的阶段要高出数倍NIST：在软件发布以后进行修复的代价是在软件设计和编码阶段即进行修复所花代价的30倍

OWASPTop102“10项最严重的Web应用程序安全风险”

2什么是OWASPTop10密码安全OWASP（开放式Web应用程序安全项目）是一个开放的社区，由非营利组织OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放，旨在提高对应用程序安全性的认识。其最具权威的成果就是“10项最严重的Web应用程序安全风险列表”，总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞，是开发、测试、服务、咨询人员应知应会的知识。

2OWASPTop101.Top1-注入2.失效身份验证和会话管理3.敏感信息泄露4.XML外部实体注入攻击（XXE）5.失效访问控制6.安全性错误配置7.Cross-Site-Scripting(XSS)8.不安全的反序列化9.使用具有已知漏洞的组件10.日志记录和监控不足

1注入定义当用户发送不可信地数据到解释器的时候，就可能出现注入漏洞，比如SQL,NoSQL,LDAP注入，解释器可能会将用户发送的恶意数据视为指令或数据库查询语句，使得用户在没有权限的情况下访问数据，甚至导致用户完全控制服务器。SQL注入用户可以提交一段构造好的数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQLInjecti