快速浏览
≡核心技术社区≡
『Windows 11 专区』
『Windows 10 专区』
『秋无痕原创作品发布』
『Windows 8 | 8.1 专区』
『WINDOWS 7 专区』
『Linux 系统讨论专区』
『Windows XP 专区』
『WINDOWS Vista 专区』
『WINDOWS Server 专区』
≡网络共享社区≡
『Apple(苹果)资源共享区』
『Android(安卓)资源共享区』
『精品软件下载区』
『秋无痕IT资讯区』
『美化资源交流区』
『软件使用交流区』
『硬件使用交流区』
『系统安全综合区』
≡休闲娱乐社区≡
『无痕茶座』
『靓图共赏』
『影视交流』
『天籁之音』
『心情文学』
『无痕商场』
≡站务管理中心≡
『论坛管理』
≡PHPwind Board≡
登录
注册
游客
帖子:
今日:
我的主题
我的回复
我的收藏
好友近况
首页
搜索
社区服务
每日签到
帮助
设为首页
网址导航
常用软件
优惠券网
银行
邀请注册
勋章中心
道具中心
UID超市
社区论坛任务
基本信息
到访IP统计
管理团队
管理操作
在线会员
会员排行
版块排行
帖子排行
推荐排行
fresh
『软件使用交流区』
『Linux 系统讨论专区』
『Windows 11 专区』
『秋无痕原创作品发布』
『Android(安卓)资源共享区』
『硬件使用交流区』
秋无痕论坛
»
『系统安全综合区』
»
软件安全:漏洞和缺陷的区别
秋无痕淘宝天猫优惠券网
秋无痕常用软件全功能装机光盘 2023年金秋版
秋无痕一键优化Windows 10专版
秋无痕一键优化Windows 11专版
秋无痕论坛官方QQ群
获取无痕币和提高等级
上一主题
下一主题
新 帖
主题 : 软件安全:漏洞和缺陷的区别
使用道具 |
复制链接
|
浏览器收藏
|
打印
加为好友
hexj9
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主
作者资料
发送短消息
UID:
998
精华:
0
发帖:
605048
威望:
529654 点
无痕币:
43 WHB
贡献值:
0 点
在线时间: 62575(时)
注册时间:
2008-12-25
最后登录:
2024-05-18
0
发表于: 2013-11-05 09:34|
请将IE368导航设置为首页,支持论坛
只看楼主
|
小
中
大
0
软件安全:漏洞和缺陷的区别
现在软件安全市场中的大部分重点都放在发现和修复漏洞上,这主要是因为自动代码审查工具让这个过程变得很简单。但其实软件设计和架构中的缺陷问题也占据很大比率,它占所有安全问题的50%。
导致安全问题的软件缺陷主要有两种:部署中的漏洞和设计中的缺陷。现在软件安全市场中的大部分重点都放在发现和修复漏洞上,这主要是因为自动代码审查工具让这个过程变得很简单。但其实软件设计和架构中的缺陷问题也占据很大比率,它占所有安全问题的50%。
在这篇文章中,我们将探讨漏洞和缺陷之间的差异。更重要的是,我们将介绍架构风险分析(ARA)程序,经证明,该程序能够很好地发现和修复漏洞。
那么,漏洞和缺陷的区别是什么?也许我们可以从一些例子中得出结论。
漏洞
漏洞存在于软件代码(源代码或二进制)中。一个最经典的漏洞是缓冲区溢出漏洞,这个漏洞根本上涉及滥用C中某些字符串处理函数功能。其中最臭名昭著的函数功能是gets(),这是一个系统调用,它从用户获取输入直到用户决定点击回复。我们把一个固定大小的缓冲区想象成一个空水杯,然后想像一下,你设置了方法来从杯中取水以避免满杯(攻击者则在不断“倒水”)。如果倒太多水到杯子里,水溢出来,就回洒在台面上。在C中的缓冲区溢出的情况下,太多输入会覆盖堆,或者甚至覆盖堆栈,从而破坏程序的堆栈,造成程序崩溃或使程序转而执行其它指令以进行攻击。简单的漏洞,可怕的后果。面对gets()的问题,我们特别容易在源代码中找到漏洞。
C中有数以百计的系统调用,如果使用不当的话,它们可能会导致安全漏洞,包括从字符串处理功能到整数溢出和整数下溢等问题。当然,在Java和其他语言中也有一样多的错误。另外,在Web应用程序(例如跨站脚本或者跨站请求伪造)中也有常见漏洞以及与数据库相关的漏洞(例如SQL注入漏洞)。
面对这么多可能存在的漏洞,我们有必要部署和使用一些工具来查找它们。现在市面上有很多商业源代码审查工具,比如惠普的Fortify、IBM的AppScan Source、Coverity公司的Quality Advisor,以及Klocwork的Clocwork Insight。目前源代码审查的最新突破是直接整合漏洞查找到每个开发人员的集成开发环境(IDE)中,这样我们就能尽可能在最开始发现漏洞。比如,Cigital的SecureAssist就是这种原理。
缺陷
除了漏洞之外,我们还会看到缺陷问题。缺陷存在于软件架构和设计中。这里有一个非常简单的缺陷的例子:忘记验证用户。这种错误通常无法在代码审查中被发现,但这是一个极其严重的问题。你的进程是以root身份运行吗?最好确定谁在使用它!
其它关于缺陷的例子包括“中间攻击人”问题,它使得攻击者能在组件、网络层、机器或者网络之间进行篡改或者窃听;另外,还有与糟糕协议有关的“重放攻击”问题。
为了更好地说明缺陷,我们在这里列出了一些常见的与Java相关的缺陷问题:错误使用密码系统、设计中的分区问题、特权块保护故障(DoPrivilege)、灾难性安全故障(脆弱性)、类别安全混淆错误、不安全的审计、损坏或不合逻辑的访问控制(网络层上的RBAC)、方法覆盖问题(子类问题)、对不该信任的组件给予太多信任(客户端)。(关于这些问题的更多信息,请参阅McGraw的《保护Java》一书)。
缺陷问题与漏洞一样常见。事实上,大多数研究表明,漏洞和缺陷各占50%。当然,本文中我们讨论的是这二者的统一体。还有一些棘手的情况可能被同时归类为漏洞和缺陷,这就取决于你如何看待它。但是,在一般情况下,学习区分漏洞和缺陷对你很有意义。
来自:
评分选定
顶端
回复
引用
评分
分享
加为好友
inhave88
级别: 十方秋水
作者资料
发送短消息
UID:
26730
精华:
0
发帖:
64722
威望:
148036 点
无痕币:
183 WHB
贡献值:
0 点
在线时间: 11530(时)
注册时间:
2008-05-03
最后登录:
2018-05-16
1
发表于: 2013-11-05 20:44|
请将IE368导航设置为首页,支持论坛
只看该作者
|
小
中
大
学习一下了
来自:
评分选定
顶端
回复
引用
评分
分享
加为好友
hsw70531
做个真正的自己
级别: 九滴秋露
作者资料
发送短消息
UID:
25831
精华:
0
发帖:
60214
威望:
64781 点
无痕币:
19 WHB
贡献值:
0 点
在线时间: 3525(时)
注册时间:
2008-05-01
最后登录:
2023-09-01
2
发表于: 2013-11-07 18:47|
请将IE368导航设置为首页,支持论坛
只看该作者
|
小
中
大
进来学习一下
来自:
评分选定
顶端
回复
引用
评分
分享
加为好友
hexj9
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主
作者资料
发送短消息
UID:
998
精华:
0
发帖:
605048
威望:
529654 点
无痕币:
43 WHB
贡献值:
0 点
在线时间: 62575(时)
注册时间:
2008-12-25
最后登录:
2024-05-18
3
发表于: 2013-11-07 20:10|
请将IE368导航设置为首页,支持论坛
只看该作者
|
小
中
大
我只是转来的
来自:
评分选定
顶端
回复
引用
评分
分享
上一主题
下一主题
秋无痕论坛
»
『系统安全综合区』
http://www.realqwh.cn
访问内容超出本站范围,不能确定是否安全
继续访问
取消访问
Total 0.043914(s) query 4, Time now is:05-18 01:04, Gzip enabled
粤ICP备07514325号-1
Powered by
PHPWind
v7.3.2
Certificate
Code © 2003-13
秋无痕论坛