应用软件安全编程分析.docx
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《应用软件安全编程分析.docx》由会员分享,可在线阅读,更多相关《应用软件安全编程分析.docx(7页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、应用软件安全编程分析 摘要:应用软件在编程实现时往往对功能和性能考虑得比较全面,但是对软件的安全性考虑明显不足。文章介绍了应用软件在编程方面存在的常见安全问题和改进的措施。 关键词:应用软件;安全编程 随着软件工程不断发展,开发出满足功能和性能要求的应用软件正变得越来越容易。但是,在网络安全形势日趋严峻的今天,要开发出安全性足够高的应用软件已不是一件易事。本文介绍了应用软件在编程方面存在的常见安全问题和改进措施。 1应用软件安全编程 应用软件安全编程顾名思义就是指在应用软件编码时充分考虑到安全性需求或要求,从而达到提升应用软件安全性的目标。为了提高软件开发人员的安全开发能力,国内有关机构推出了
2、注册信息安全开发人员(CISD)、注册软件安全专业人员(CWASPCSSP)、注册软件安全开发人员(CWASPCSSD)等培训认证。 2应用软件编程常见安全问题 (1)身份鉴别方面在身份鉴别方面,通常容易忽视的一些问题主要有:没有对鉴别失败的次数进行限制;执行重要或者不可逆操作之前没有再次进行身份鉴别;一次身份鉴别后进行长时间的通话,没有周期性重新进行身份鉴别;身份鉴别过程可能会被绕过;依赖不可靠信息进行身份鉴别;验证数字证书不全面;处理身份鉴别的过程中泄露多余信息。(2)口令安全方面在口令安全方面,主要存在的一些问题主要有:虽然采用了强口令,但是口令的复杂度不满足安全策略要求;对于默认的初始
3、口令,没有强制用户第一次登录时更改默认口令;对于一些关键核心系统没有做到要求定期更改口令;在源代码中写入口令;在不安全环境中进行口令传输。(3)日志安全方面在日志安全方面,主要存在的一些问题主要有:未能实现日志文件的安全存储;有些重要安全事件未能记入日志;未能做到日志记录的异常捕获处理;对日志中的特殊元素没有进行过滤和验证。(4)数据保护方面在数据保护方面,主要存在的一些问题有:未对敏感数据做到加密存储和传输;未对重要数据完整性检查;在错误消息、调试信息等中含有敏感数据;在客户端保存敏感数据;Web登录表单使用浏览器的全自动填充功能。(5)输入验证方面在输入验证方面,主要存在的一些问题有:验证
4、输入数据的安全性时没有全覆盖;部分容易受到恶意攻击的场景下未做好数据验证;对输入数据验证前缺少过滤或标准化处理;关键业务操作的输入数据未验证数据发送方的数字签名。(6)输出净化方面在输出净化方面,主要存在的一些问题有:未对所有字符进行编码;编码规则没有参考有关标准;有些含有危险字符的命令没有进行语义净化;将URL重定向到不可信站点。 3应用软件编程常见安全问题的改进措施 (1)身份鉴别方面针对没有对鉴别失败的次数进行限制的问题,可以设定同一用户进行身份鉴别的频率和次数,设定鉴别失败次数的阈值,当鉴别失败次数达到阈值时对用户进行锁定,以防止暴力破解。针对执行重要或者不可逆操作之前没有再次进行身份
5、鉴别的问题,可以梳理出重要或者不可逆操作清单,这些操作确认之前要再次进行身份鉴别,以减少不安全会话带来损失。针对一次身份鉴别后进行长时间的通话,没有周期性重新进行身份鉴别的问题,可以周期性进行身份鉴别,确保权限没有发生改变。如果发生改变,必须强制注销用户,重新进行身份鉴别。针对身份鉴别过程可能会被绕过的问题,严格控制用户访问系统的可选通道,确保用户只能通过指定通道访问系统。针对依赖不可靠信息进行身份鉴别的问题,要避免依赖不可靠信息进行身份鉴别,比如避免信任cookie中的数据、避免依赖反向DomainNameSystem解析获取的主机信息等等。针对验证数字证书不全面的问题,应该检查数字证书的状
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 应用软件 安全 编程 分析
![提示](https://www.deliwenku.com/images/bang_tan.gif)
限制150内