返回
安全性编程方法-打印

安全性编程方法-打印

ID:18261651

大小:53.00 KB

页数:8页

时间:2018-09-16

安全性编程方法-打印_第1页
安全性编程方法-打印_第2页
安全性编程方法-打印_第3页
安全性编程方法-打印_第4页
安全性编程方法-打印_第5页
资源描述:

《安全性编程方法-打印》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、天津农学院计算机科学与技术《安全性编程方法》课程论文论文题目:《安全性编程方法的体会总结》专业:软件工程班级:2012级升本班学号:1208032106姓名:侯亚男指导教师:许晓华成绩:2013年11月11日8目录1知识汇总32对软件安全的理解43软件的缺陷和漏洞54总结与体会71.知识汇总节偏移=Voffset-Roffset(LordPE)8文件偏移地址=虚拟内存地址-装载基址(00400000)-节偏移=虚拟内存地址-映射基址-节偏移IDA可以查虚拟内存地址。转码:JE-JNE(74)JZ-JNZ(75)LordPE=V

2、offset-Roffset=虚拟偏移地址-真实偏移地址什么叫野指针?未初始化的指针叫野指针。什么叫悬垂指针?当分配内存被释放但指向该内存的指针依然指向已经释放的内存地址。怎么杜绝野指针?初始化设置为NULL,指向合格的内存。缓冲区溢出溢出的分类:内存中的位置分为静态存储区溢出、栈溢出、堆溢出。静态区:(静态变量、全局变量)、(初始化、未初始化)栈区:(函数相关的变量、参数、返回地址、返回值)、(由高到低)、(连续分配)堆区:(动态生成的变量、数组、mallc)、(不同操作系统分配不同)、(不连续分配)常量区:(常量、字符串)

3、代码区:(可执行的二进制代码)大端机bigending:低地址存高位。小端机littleending:低地址存低位。2.对软件安全的理解软件的概念8*软件的定义1983年IEEE为软件下的定义是:计算机程序、方法、规则和相关的文档资料以及在计算机上运行时所需的数据。目前对软件通俗的解释为:软件=程序+数据+文档资料其中,程序是完成特定功能和满足性能要求的指令序列;数据是程序运行的基础和操作的对象;文档资料是与程序开发、维护和使用有关的图文资料。*软件的分类a.按功能分为系统软件、支撑软件、和应用软件。b.按规模分为微型、小型、

4、中型、大型、甚大型、极大型。c.按工作方式分为实时处理软件、分时软件、交互式软件、批处理软件。d.按服务对象的范围分为面向部分客户的项目软件和面向市场的产品软件。*软件安全的知识体系:攻击程序攻击模式规则弱点历史风险方针原则83.软件的缺陷和漏洞导致安全问题的软件缺陷主要有两种:部署中的漏洞和设计中的缺陷。现在软件安全市场中的大部分重点都放在发现和修复漏洞上,这主要是因为自动代码审查工具让这个过程变得很简单。但其实软件设计和架构中的缺陷问题也占据很大比率,它占所有安全问题的50%。漏洞存在于软件代码(源代码或二进制)中。一个最

5、经典的漏洞是缓冲区溢出漏洞,这个漏洞根本上涉及滥用C中某些字符串处理函数功能。其中最臭名昭著的函数功能是gets(),这是一个系统调用,它从用户获取输入直到用户决定点击回复。我们把一个固定大小的缓冲区想象成一个空水杯,然后想像一下,你设置了方法来从杯中取水以避免满杯。如果倒太多水到杯子里,水溢出来,就回洒在台面上。在C中的缓冲区溢出的情况下,太多输入会覆盖堆,或者甚至覆盖堆栈,从而破坏程序的堆栈,造成程序崩溃或使程序转而执行其它指令以进行攻击。简单的漏洞,可怕的后果。面对gets()的问题,我们特别容易在源代码中找到漏洞。8C

6、中有数以百计的系统调用,如果使用不当的话,它们可能会导致安全漏洞,包括从字符串处理功能到整数溢出和整数下溢等问题。当然,在Java和其他语言中也有一样多的错误。另外,在Web应用程序中也有常见漏洞以及与数据库相关的漏洞。面对这么多可能存在的漏洞,我们有必要部署和使用一些工具来查找它们。现在市面上有很多商业源代码审查工具,比如惠普的Fortify、IBM的AppScanSource、Coverity公司的QualityAdvisor,以及Klocwork的ClocworkInsight。目前源代码审查的最新突破是直接整合漏洞查找

7、到每个开发人员的集成开发环境(IDE)中,这样我们就能尽可能在最开始发现漏洞。缺陷存在于软件架构和设计中。这里有一个非常简单的缺陷的例子:忘记验证用户。这种错误通常无法在代码审查中被发现,但这是一个极其严重的问题。你的进程是以root身份运行吗?最好确定谁在使用它!其它关于缺陷的例子包括“中间攻击人”问题,它使得攻击者能在组件、网络层、机器或者网络之间进行篡改或者窃听;另外,还有与糟糕协议有关的“重放攻击”问题。为了更好地说明缺陷,我们在这里列出了一些常见的与Java相关的缺陷问题:错误使用密码系统、设计中的分区问题、特权块保

8、护故障、灾难性安全故障、类别安全混淆错误、不安全的审计、损坏或不合逻辑的访问控制、方法覆盖问题、对不该信任的组件给予太多信任。4.总结与体会这学期即将结束,8也预示着我的学生生涯即将结束。晓华老师也是第二年叫我们班的课,我还清晰的记得第一学期晓华老师教我们班《c++编程》的时

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。