1、信息安全原理及从业人员安全素养培训01应用安全技术概述第 2 页信息安全原理及从业人员安全素养第七章第 3 页第一节. 软件漏洞概念及分类多年以来,在计算机软件(包括来自第三方的软件,商业的和免费的软件)中已经发现了不计其数能够削弱安全性的缺陷(bug)。黑客利用编程中的细微错误或者上下文依赖关系,已经能够控制Linux,让它做任何他们想让它做的事情。漏洞13.下载未经完整性检查14.不正确的初始化15.使用被破解的加密算法16.滥用特权操作1.错误的输入验证2.不正确的转义输出3.SQL注入)错误4.跨站脚本5.操作系统命令注入6.明文传送敏感信息7.资源竞争8.错误信息泄露9.缓冲区内操作
2、失败10.外部控制重要状态数据11.不可信搜索路径12.控制代码生成错误第七章第 4 页第一节. 软件漏洞缓冲区溢出漏洞第七章第 5 页第一节. 软件漏洞格式化字符串漏洞猜猜这是啥?第七章第 6 页第一节. 软件漏洞软件漏洞案例第七章第 7 页第一节. 软件漏洞软件漏洞案例 心脏出血第七章第 8 页第二节. 软件安全开发建立安全威胁模型考虑风险消减技术方案,应用于产品中,以缓解威胁;分析软件产品的安全环境、功能作用、潜在攻击者的关注点、攻击力度;安全模型步骤分析软件产品可能遭受的威胁、包括技术、危害、攻击面;将所有的威胁进行评估分析,并按照风险值进行排序,对风险较大的威胁重点关注;第七章第 9
3、 页第二节. 软件安全开发安全设计代码重用业务认可最少公用全面防御最小权限开放设计原则安全加密实效防护第七章第 10 页第二节. 软件安全开发安全编程数据的机密性使用验证过的加密算法;使用非对称传递会话密钥;使用会话加密机制加密传输数据;给用户最低权限,操作结束后即时回收;数据的完整性检查访问路径、调用的返回代码及关键的输入参数;全面处理异常输入输出;检查竞争条件;数据的有效性检查环境参数;使用绝对路径;设置超时;对不同角色权限作不同限制;对IP、端口进行限制;采用新版本的开发环境;对内存中数据的访问进行严格的检查;第七章第 11 页第二节. 软件安全开发安全测试构造畸形数据验证输入输出文件全
4、面测试异常处理全面检测输入测试非正常路径采用反汇编检测敏感信息第七章第 12 页第三节. 软件安全检测静态安全检测技术1词法分析2数据流分析3污点传播分析4符号执行5模型检验6定理证明动态安全检测技术1生成模糊测试数据2检测模糊测试数据3监测程序异常4确定可利用性第七章第四节. 软、硬件安全保护注册信息验证技术 软件防篡改技术代码混淆技术软件水印技术软件加壳技术软件安全保护技术反调试反跟踪技术 加密狗光盘保护技术专用接口卡11 12 223第 13 页第七章第五节. 恶意程序分类网站钓鱼木马蠕虫病毒恶意脚本宏病毒单一病毒第 14 页第七章第五节. 恶意程序传播方式网站挂马、诱骗下载、移动存储介
5、质传播、电子邮件和即时通讯软件传播、局域网传播破坏功能浏览器配置被修改、窃取用户隐私、远程控制、破坏系统第 15 页第七章第五节. 恶意程序查杀技术和防范启发式查杀启发式查杀虚拟机查杀虚拟机查杀特征码查杀特征码查杀主动防御技术主动防御技术第 16 页第七章第六节. WEB应用系统安全威胁种类注入、跨站、遭破坏的身份认证和会话、不安全的直接对象引用、伪造跨站请求、安全配置错误、不安全的加密存储、无限制URL访问、传输层保护不足、未经验证的重定向和转发第 17 页第七章第六节. WEB应用系统安全WEB安全防护客户端安全防护通信信道安全防护服务器安全防护WEB安全防护第 18 页第七章第六节. WEB应用系统安全WEB安全检测黑盒检测白盒检测安全检测检测报告第 19 页