應(yīng)用安全技術(shù)概述_第1頁
應(yīng)用安全技術(shù)概述_第2頁
應(yīng)用安全技術(shù)概述_第3頁
應(yīng)用安全技術(shù)概述_第4頁
應(yīng)用安全技術(shù)概述_第5頁
已閱讀5頁,還剩15頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、v1信息安全原理及從業(yè)人員安全素養(yǎng)培訓(xùn)01應(yīng)用安全技術(shù)概述第 2 頁信息安全原理及從業(yè)人員安全素養(yǎng)第七章第 3 頁第一節(jié). 軟件漏洞概念及分類多年以來,在計(jì)算機(jī)軟件(包括來自第三方的軟件,商業(yè)的和免費(fèi)的軟件)中已經(jīng)發(fā)現(xiàn)了不計(jì)其數(shù)能夠削弱安全性的缺陷(bug)。黑客利用編程中的細(xì)微錯(cuò)誤或者上下文依賴關(guān)系,已經(jīng)能夠控制Linux,讓它做任何他們想讓它做的事情。參數(shù)錯(cuò)誤類錯(cuò)誤使用資源經(jīng)驗(yàn)欠缺類錯(cuò)誤管理不規(guī)范類漏洞13.下載未經(jīng)完整性檢查14.不正確的初始化15.使用被破解的加密算法16.濫用特權(quán)操作1.錯(cuò)誤的輸入驗(yàn)證2.不正確的轉(zhuǎn)義輸出3.SQL注入)錯(cuò)誤4.跨站腳本5.操作系統(tǒng)命令注入6.明文傳送

2、敏感信息7.資源競爭8.錯(cuò)誤信息泄露9.緩沖區(qū)內(nèi)操作失敗10.外部控制重要狀態(tài)數(shù)據(jù)11.不可信搜索路徑12.控制代碼生成錯(cuò)誤第七章第 4 頁第一節(jié). 軟件漏洞緩沖區(qū)溢出漏洞第七章第 5 頁第一節(jié). 軟件漏洞格式化字符串漏洞猜猜這是啥?第七章第 6 頁第一節(jié). 軟件漏洞軟件漏洞案例第七章第 7 頁第一節(jié). 軟件漏洞軟件漏洞案例 心臟出血第七章第 8 頁第二節(jié). 軟件安全開發(fā)建立安全威脅模型考慮風(fēng)險(xiǎn)消減技術(shù)方案,應(yīng)用于產(chǎn)品中,以緩解威脅;分析軟件產(chǎn)品的安全環(huán)境、功能作用、潛在攻擊者的關(guān)注點(diǎn)、攻擊力度;安全模型步驟分析軟件產(chǎn)品可能遭受的威脅、包括技術(shù)、危害、攻擊面;將所有的威脅進(jìn)行評(píng)估分析,并按照風(fēng)

3、險(xiǎn)值進(jìn)行排序,對(duì)風(fēng)險(xiǎn)較大的威脅重點(diǎn)關(guān)注;第七章第 9 頁第二節(jié). 軟件安全開發(fā)安全設(shè)計(jì)代碼重用業(yè)務(wù)認(rèn)可最少公用全面防御最小權(quán)限開放設(shè)計(jì)原則安全加密實(shí)效防護(hù)第七章第 10 頁第二節(jié). 軟件安全開發(fā)安全編程數(shù)據(jù)的機(jī)密性使用驗(yàn)證過的加密算法;使用非對(duì)稱傳遞會(huì)話密鑰;使用會(huì)話加密機(jī)制加密傳輸數(shù)據(jù);給用戶最低權(quán)限,操作結(jié)束后即時(shí)回收;數(shù)據(jù)的完整性檢查訪問路徑、調(diào)用的返回代碼及關(guān)鍵的輸入?yún)?shù);全面處理異常輸入輸出;檢查競爭條件;數(shù)據(jù)的有效性檢查環(huán)境參數(shù);使用絕對(duì)路徑;設(shè)置超時(shí);對(duì)不同角色權(quán)限作不同限制;對(duì)IP、端口進(jìn)行限制;采用新版本的開發(fā)環(huán)境;對(duì)內(nèi)存中數(shù)據(jù)的訪問進(jìn)行嚴(yán)格的檢查;第七章第 11 頁第二節(jié).

4、 軟件安全開發(fā)安全測試構(gòu)造畸形數(shù)據(jù)驗(yàn)證輸入輸出文件全面測試異常處理全面檢測輸入測試非正常路徑采用反匯編檢測敏感信息123456第七章第 12 頁第三節(jié). 軟件安全檢測靜態(tài)安全檢測技術(shù)1詞法分析2數(shù)據(jù)流分析3污點(diǎn)傳播分析4符號(hào)執(zhí)行5模型檢驗(yàn)6定理證明動(dòng)態(tài)安全檢測技術(shù)1生成模糊測試數(shù)據(jù)2檢測模糊測試數(shù)據(jù)3監(jiān)測程序異常4確定可利用性第七章第四節(jié). 軟、硬件安全保護(hù)注冊(cè)信息驗(yàn)證技術(shù) 軟件防篡改技術(shù)代碼混淆技術(shù)軟件水印技術(shù)軟件加殼技術(shù)軟件安全保護(hù)技術(shù)反調(diào)試反跟蹤技術(shù) 加密狗光盤保護(hù)技術(shù)專用接口卡11223第 13 頁第七章第五節(jié). 惡意程序分類網(wǎng)站釣魚木馬蠕蟲病毒惡意腳本宏病毒單一病毒第 14 頁第七章第五節(jié). 惡意程序傳播方式網(wǎng)站掛馬、誘騙下載、移動(dòng)存儲(chǔ)介質(zhì)傳播、電子郵件和即時(shí)通訊軟件傳播、局域網(wǎng)傳播破壞功能瀏覽器配置被修改、竊取用戶隱私、遠(yuǎn)程控制、破壞系統(tǒng)第 15 頁第七章第五節(jié). 惡意程序查殺技術(shù)和防范啟發(fā)式查殺虛擬機(jī)查殺特征碼查殺主動(dòng)防御技術(shù)第 16 頁第七章第六節(jié). WEB應(yīng)用系統(tǒng)安全威脅種類注入、跨站、遭破壞的身份認(rèn)證和會(huì)話、不安全的直接對(duì)象引用、偽造跨站請(qǐng)求、安全配置錯(cuò)誤、不安全的加密存儲(chǔ)、無限制URL訪問、傳輸層保護(hù)不足、未經(jīng)驗(yàn)證的重定向和轉(zhuǎn)發(fā)第 17 頁第七章第六節(jié). WEB應(yīng)用系統(tǒng)安全WEB安全防護(hù)客戶端安全防護(hù)通

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論