20 元
下载资源

应用安全技术概述课件

上传人:风*** 文档编号:252930270 上传时间:2024-11-24 格式:PPTX 页数:20 大小:1.23MB
返回 下载 相关 举报
应用安全技术概述课件_第1页
第1页 / 共20页
应用安全技术概述课件_第2页
第2页 / 共20页
应用安全技术概述课件_第3页
第3页 / 共20页
点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,v1,信息安全原理及从业人员安全素养培训,v1信息安全原理及从业人员安全素养培训,1,01,应用安,全,技,术概述,第,2,页,信息安全原理及从业人员安全素养,01应用安全技术概述第 2 页信息安全原理及从业人员安全素养,2,第七章,第,3,页,第一节,.,软件漏洞,概念及分类,多年以来,在计算机软件(包括来自第三方的软件,商业的和免费的软件)中已经发现了不计其数能够削弱安全性的缺陷(,bug,)。黑客利用编程中的细微错误或者上下文依赖关系,已经能够控制,Linux,,让它做任何他们想让它做的事情。,参数错误类,错误使用资源,经验欠缺类错误,管理不规范类,漏洞,13.,下载未经完整性检查,14.,不正确的初始化,15.,使用被破解的加密算法,16.,滥用特权操作,1.,错误的输入验证,2.,不正确的转义输出,3.SQL,注入,),错误,4.,跨站脚本,5,.,操作系统命令注入,6.,明文传送敏感信息,7.,资源竞争,8.,错误信息泄露,9.,缓冲区内操作失败,10.,外部控制重要状态数据,11.,不可信搜索路径,12.,控制代码生成错误,第七章第 3 页第一节.软件漏洞概念及分类多年以来,在计算,3,第七章,第,4,页,第一节,.,软件漏洞,缓冲区溢出漏洞,第七章第 4 页第一节.软件漏洞缓冲区溢出漏洞,4,第七章,第,5,页,第一节,.,软件漏洞,格式化字符串漏洞,猜猜这是啥?,第七章第 5 页第一节.软件漏洞格式化字符串漏洞猜猜这是啥,5,第七章,第,6,页,第一节,.,软件漏洞,软件漏洞案例,第七章第 6 页第一节.软件漏洞软件漏洞案例,6,第七章,第,7,页,第一节,.,软件漏洞,软件漏洞案例 心脏出血,第七章第 7 页第一节.软件漏洞软件漏洞案例 心脏出血,7,第七章,第,8,页,第二节,.,软件安全开发,建立安全威胁模型,考虑风险消减技术方案,应用于产品中,以缓解威胁;,分析软件产品的安全环境、功能作用、潜在攻击者的关注点、攻击力度;,安全模型步骤,分析软件产品可能遭受的威胁、包括技术、危害、攻击面;,将所有的威胁进行评估分析,并按照风险值进行排序,对风险较大的威胁重点关注;,第七章第 8 页第二节.软件安全开发建立安全威胁模型考虑风,8,第七章,第,9,页,第二节,.,软件安全开发,安全设计,代码重用,业务认可,最少公用,全面防御,最小权限,开放设计,原则,安全加密,实效防护,第七章第 9 页第二节.软件安全开发安全设计代码重用业务认,9,第七章,第,10,页,第二节,.,软件安全开发,安全编程,数据的机密性,使用验证过的加密算法;使用非对称传递会话密钥;使用会话加密机制加密传输数据;给用户最低权限,操作结束后即时回收;,数据的完整性,检查访问路径、调用的返回代码及关键的输入参数;全面处理异常输入输出;检查竞争条件;,数据的有效性,检查环境参数;使用绝对路径;设置超时;对不同角色权限作不同限制;对,IP,、端口进行限制;采用新版本的开发环境;对内存中数据的访问进行严格的检查;,第七章第 10 页第二节.软件安全开发安全编程数据的机密性,10,第七章,第,11,页,第二节,.,软件安全开发,安全测试,构造畸形数据,验证输入输出文件,全面测试异常处理,全面检测输入,测试非正常路径,采用反汇编检测敏感信息,1,2,3,4,5,6,第七章第 11 页第二节.软件安全开发安全测试构造畸形数据,11,第七章,第,12,页,第三节,.,软件安全检测,静态安全检测技术,1,词法分析,2,数据流分析,3,污点传播分析,4,符号执行,5,模型检验,6,定理证明,动态安全检测技术,1,生成模糊测试数据,2,检测模糊测试数据,3,监测程序异常,4,确定可利用性,第七章第 12 页第三节.软件安全检测静态安全检测技术1词,12,第七章,第四节,.,软、硬件安全保护,注册信息验证技术,软件防篡改技术,代码混淆技术,软件水印技术,软件加壳技术,软件安全保护技术,反调试反跟踪技术,加密狗,光盘保护技术,专用接口卡,1,1,2,2,3,第,13,页,第七章第四节.软、硬件安全保护注册信息验证技术 软件防篡改,13,第七章,第五节,.,恶意程序,分类,网站钓鱼,木马,蠕虫病毒,恶意脚本,宏病毒,单一病毒,第,14,页,第七章第五节.恶意程序分类网站钓鱼木马蠕虫病毒恶意脚本宏病,14,第七章,第五节,.,恶意程序,传播方式,网站挂马、诱骗下载、移动存储介质传播、电子邮件和即时通讯软件传播、局域网传播,破坏功能,浏览器配置被修改、窃取用户隐私、远程控制、破坏系统,第,15,页,第七章第五节.恶意程序传播方式网站挂马、诱骗下载、移动存储,15,第七章,第五节,.,恶意程序,查杀技术和防范,启发式查杀,虚拟机查杀,特征码查杀,主动防御技术,第,16,页,第七章第五节.恶意程序查杀技术和防范启发式查杀虚拟机查杀特,16,第七章,第六节,.,WEB,应用系统安全,威胁种类,注入、跨站、遭破坏的身份认证和会话、不安全的直接对象引用、伪造跨站请求、安全配置错误、不安全的加密存储、无限制,URL,访问、传输层保护不足、未经验证的重定向和转发,第,17,页,第七章第六节.WEB应用系统安全威胁种类注入、跨站、遭破坏,17,第七章,第六节,.,WEB,应用系统安全,WEB,安全防护,客户端安全防护,通信信道安全防护,服务器安全防护,WEB,安全防护,第,18,页,第七章第六节.WEB应用系统安全WEB安全防护客户端安全防,18,第七章,第六节,.,WEB,应用系统安全,WEB,安全检测,黑盒检测,白盒检测,安全检测,检测报告,第,19,页,第七章第六节.WEB应用系统安全WEB安全检测黑盒检测白盒,19,谢谢观看,谢谢观看,20,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 教学培训


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!