美高梅官方网站3045-mgm6608美高梅app下载
自上而下做好安全代码审查

自上而下做好安全代码审查

作者:mgm美高梅 官方网址    来源:未知    发布时间:2020-02-09 21:45    浏览量:

安全的程序开发实践的一个关键方面就是安全代码审查。安全代码审查,与常规的代码审查一样,可以使用自动化工具完成,也可以要求开发者亲自参与到代码审查中人工完成。那么,安全代码审查与常规的代码审查有哪些差别、如何做到更有效的安全代码审查呢?大家可以通过本文了解一下。安全代码审查:对安全知识要求高常规的程序代码审查需要代码审查者具备业务、程序语言和相关技术知识的积累,安全代码审查则需要具备以下 3 个不同方面的安全知识:

近日,开放式 Web 应用程序安全项目(OWASP)发布了最终版 2017 Top 10 榜单。Top 10 项目帮助企业组织找出所面临的最严重的风险,成为全球 Web 开发和运维人员的必读指南。

 

常见威胁安全漏洞常见的程序修复技术

mgm美高梅 官方网址 1

Atitit.安全性方案规划设计4gm  v1 q928

让安全代码审查更有效:自上而下要做到有效的安全代码审查,方式之一就是采用自上而下的方法,此方法要求代码审查者了解用例细节且对此有比较深入地掌握。进行安全代码审查,建议你按照下面的步骤进行。1,了解待审查代码的用例细节2,分解用例以下面形式分解用例,该种分解属于数据流图式威胁模型:

2017 Top 10 Web 应用安全威胁,你的企业正在经历哪些?

 

角色数据流应用程序/模块数据存储

A1 注入攻击漏洞 A6 安全配置错误

1. 安全架构设计与功能安全检测1

3,识别威胁STRIDE 可用来识别对上述元素的威胁。STRIDE,是“假冒身份、篡改数据、否认、信息泄露、拒绝服务和权限提升”英文单词的缩写可能会受到来自“假冒身份”和“否认”的威胁;数据流可能会受到“篡改数据”、“信息泄露”和“拒绝服务”等方式的威胁等。4,检查安全漏洞一旦威胁与全部元素发生了关系,则需mgm美高梅 官方网址,检查潜在的可能转变为攻击的安全漏洞。如,SQL 注入,会话处理,已破坏的验证与授权等。可以查看文章 OWASP Top 10 了解常见的 10 种安全漏洞。5,做好补救控制一旦确认安全漏洞,则需检查补救控制措施是否到位或针对这些漏洞的措施是否恰当。这些补救控制措施通常就是更为安全的代码。可以在OWASP Top 10 每个单独链接页查看相应的补救控制措施建议。下面针对部分威胁和安全漏洞给出了对应的补救控制建议:

A2 失效的身份认证 A7 跨站脚本 XSS

2. https1

SQL 注入攻击:在查询相关的代码中搜索参数化 API的使用情况。同时,也要请求一个或多个输入验证架构,如 OWASP ESAPI 用在转义可能带来注入攻击的字符的情况。跨站点脚本攻击:搜索基于 HTML 上下文用于转义全部不受信任数据的代码。可以查看 OWASP 跨站点脚本攻击备忘了解数据转义技术细节。敏感数据曝光:查询敏感数据并检查该类数据的存储策略。可以从代码角度来检查数据的加密强度。功能级权限控制缺失:在代码审查时,要确认何人具备访问该功能的授权、是否根据用户类型赋予了其合理的权限控制。在控件或业务逻辑中,数据集有时仅能由特定类型的用户进行访问。

A3 敏感信息泄露 A8 不安全反序列化漏洞

3. 账号安全体系1

结语目前,对部分开发者来说,可能还需要一定程度的安全培训才能胜任安全代码审查工作、实现有效的安全代码审查。代码的常规审查不可少,安全审查也不可少,对安全性要求较高的程序尤其要注意。如果缺少了这道流程,万一遭受攻击,带来的损失将远超过我们的想象,“预则立,不预则废”说的就是这个道理。Via Vitalflux

A4 XXE 漏洞 A9 使用含有已知漏洞的组件

4. 配置文件安全 1

A5 失效的访问控制 A10 不足的记录和监控

5. 源码加密与安全2

在 2017 威胁榜单中,注入攻击漏洞仍然位居 Top 10 威胁之首,而 XSS 的威胁程度从 A3 降到了 A7。敏感信息泄露、安全配置错误、失效的访问控制等威胁均有提升,值得企业重视。

6. 最高强度的安全加密算法2

与此同时,榜单中还出现了一些新的安全威胁,包括 XXE 漏洞(A4:2017, XML External Entity attack)、针对 Java 平台的不安全反序列化漏洞(A8:2017, Insecure Deserialization)以及记录和监控不足风险(A10:2017, Insufficient Logging & Monitoring)等,这些新兴的安全威胁也值得企业重点关注。

7. 敏感数据加密存储解决方案2

随着网贷、购物和社交等一系列新型互联网产品的诞生,企业信息化的过程中越来越多的应用都架设在 Web 平台上,接踵而至的就是 Web 安全威胁的凸显。

8. 操作日志2

大量黑客利用网站操作系统的漏洞和 Web 服务程序的 SQL 注入漏洞等得到 Web 服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。

9. 登陆日志2

什么是 Web 应用安全风险?

10. 安全的验证码2

如下图所示,攻击者可以通过应用程序中许多不同的路径和方法来危害您的业务或者企业组织。每种路径方法都代表了一种风险,有些路径方法很容易被发现并利用,有些则很难被发现。

11. 防篡改(余额与充值记录)2

为了确定您企业面临的风险,可以结合其产生的技术影响和对企业的业务影响,去评估威胁代理、攻击向量和安全漏洞的可能性。

12. 弱口令检测2

mgm美高梅 官方网址 2

13. OWASP的十大Web应用安全漏洞检测与修补3

2017 Top 10 Web 应用安全威胁,你的企业正在经历哪些?

 

接下来,重点分析排名前三的 Web 安全威胁以及应对方法:

1. 安全架构设计与功能安全检测

安全的加强从俩方面抓起,一方面是设计的安全架构设计,一方面是安全扫描报告

 

 

注入攻击漏洞

2. https

 

注入攻击漏洞,例如 SQL、OS 以及 LDAP 注入。这些攻击发生在当不可信的数据作为命令或者查询语句的一部分,被发送给解释器的时候,攻击者发送的恶意数据可以欺骗编辑器,以执行计划外的命令或者在未被恰当授权时访问数据。

3. 账号安全体系

 

  • 检查是否存在「注入漏洞」的方法

4. 配置文件安全 

很多时候,我们的数据库密码等放在配置文件里,

 

最好的办法就是确认所有解释器的使用都明确地将不可信数据从命令语句或查询语句中区分出来。对于 SQL 调用,在所有准备语句和存储过程中使用绑定变量,并避免使用动态查询语句。

5. 源码加密与安全

 

检查应用程序是否安全使用解释器的最快最有效的办法是代码审查,代码分析工具能帮助安全分析者找到使用解释器的代码并追踪应用的数据流。

6. 最高强度的安全加密算法

可以执行应用程序的动态扫描器能够提供信息,帮助确认一些可利用的注入漏洞是否存在。

7. 敏感数据加密存储解决方案

作者::  ★(attilax)>>>   绰号:老哇的爪子 ( 全名::Attilax Akbar Al Rapanui 阿提拉克斯 阿克巴 阿尔 拉帕努伊 ) 汉字名:艾龙,  EMAIL:1466519819@qq.com

转载请注明来源: 

 

  • 典型案例

8. 操作日志

 

下一篇:没有了
友情链接: 网站地图
Copyright © 2015-2019 http://www.zen-40.com. mgm美高梅有限公司 版权所有