应用系统软件开发软件代码安全缺陷定义.docVIP

XXXX集团 应用系统软件开发软件代码安全缺陷定义 版本：1.0 XXXX信息技术部门 目录 TOC \o 1-2 \h \z \u HYPERLINK \l _Toc454929200 1. 概述 PAGEREF _Toc454929200 \h 3 HYPERLINK \l _Toc454929201 1.1. 目的 PAGEREF _Toc454929201 \h 3 HYPERLINK \l _Toc454929202 1.2. 规范引用的文件或标准 PAGEREF _Toc454929202 \h 3 HYPERLINK \l _Toc454929203 2. 软件安全缺陷的特点 PAGEREF _Toc454929203 \h 3 HYPERLINK \l _Toc454929204 3. 源代码常见安全缺陷类型枚举 PAGEREF _Toc454929204 \h 3 HYPERLINK \l _Toc454929205 4. 威胁的分类 PAGEREF _Toc454929205 \h 8 HYPERLINK \l _Toc454929206 附录：软件代码安全缺陷与威胁的对应表 PAGEREF _Toc454929206 \h 9 概述 目的 本规范指导应用系统开发承建商在开发过程中减少应用系统安全缺陷。 规范引用的文件或标准 《CWE》Common Weakness Enumeration通用弱点枚举2011.09 软件安全缺陷的特点 软件安全缺陷是软件产品中存在的可能导致软件与其设计目标不一致，并且可能违反软件文档所定义的安全政策的软件缺陷。通常来讲软件代码的安全缺陷有如下特点： (一) 软件安全缺陷一旦被发现和利用，可能引发严重的系统安全风险，而普通软件缺陷通常不会导致较为严重的安全问题； (二) 软件安全缺陷往往不是被常规软件测试人员发现，安全缺陷的发现者往往是商业安全机构的专业人员，以及试图利用软件的安全缺陷获取不当利益的黑客； (三) 通常的软件缺陷一般在下一个发行版本中进行修复，而安全缺陷发现后必须立即采取相应的安全措施进行修复。 源代码常见安全缺陷类型枚举 下面25 项最危险的程序编写错误将导致严重的应用程序安全性漏洞，应用程序在发布时不得包含下列已知漏洞。 1.SQL注入 注入攻击是网站常见的安全缺陷。攻击者将恶意构造的输入字符串提交到服务器端，由解释程序（如数据库的SQL执行程序）执行，此时可能导致查询、恶意修改、提升权限等攻击。 2.系统命令注入 软件在系统中通常是起到从外部到内部网络桥梁的作用。当恶意插入的命令串植入进入到没做安全防护的软件中，这可能使攻击者通过恶意输入在软件应用层面执行系统命令。 3．传统的缓冲区溢出 传统的缓冲区溢出是指软件在运行的过程中将输入缓冲区的数据放置到输出缓冲区时，由于没有验证输入的数据块比输出缓冲区范围大，从而可以覆盖某些寄存器地址以获得执行权限。 4．跨站脚本攻击 Web程序没有对攻击者提交的含有可执行代码的输入进行有效验证，在某页面返回给访问该Web程序的任意用户，可能导致这些代码在用户的浏览器解释执行。跨站脚本可分为：存储型XSS、反射型XSS和基于DOM的XSS。 5．缺少对重要功能的授权访问 对软件中重要的功能和组件可以在没有认证/授权的情况下访问，如系统中添加用户的组件没有对管理员session进行验证就可进行操作。 6．缺少授权机制 当用户登录软件系统时，授权决策程序可以依据用户特权，任何权限或其他接入控制规范来决定是否让那个用户访问一个特定资源。当这种访问控制机制失效时，会导致很多安全方面的问题，比如：信息泄漏、拒绝服务、代码执行等。 7．硬编码 软件代码中带有敏感凭证的信息，如登录密码、加密用的key等。这种写入代码中的敏感信息很可能通过逆向、代码查看等方式被外界获知，而且也会带来升级维护上的麻烦。 8．敏感数据没有加密 程序在传输和存储的过程中没有对敏感信息进行合适的加密。如不加密，在传输的过程中数据包可能会被监听、修改，在存储时可能被能够访问数据库的恶意用户获取到所有的敏感数据。 9．不严谨的文件上传过滤 对于需要上传文件的应用程序，在处理上传文件的类型时需要进行严格的过滤，防止危险的后缀脚本文件上传，从而获取到程序的控制权限。 10．不可信的输入导致安全策略失效 应用使用的保护方法往往会依赖用户输入的信息，但这种输入的信息很可能被攻击者恶意修改，从而绕过应用系统自带的保护。如在使用Cookies、环境变量、隐藏表单时往往会忽略这些区域输入数值的修改，从而在直接调用这些被修改的数据时可能会发生越权操作。 11. 程序执行时不必要的权限 软件可能需要特殊的权限执行某些操作，但大