首页
解决方案
产品+服务
技术中心
新闻动态
公司介绍
首页
解决方案
服务
加快入市速度
在数周内实现新技术的发布
降低复杂性和成本
管理厂商来降低成本
优化用户体验
快速发现和解决问题
强化安全防御
以前瞻方式发现和解决漏洞
需求
测试测量
网络安全
等保云灾备
智慧厕所
技术
5G
SD-WAN
SRv6
语音质量
测试自动化
DDOS攻击
物联网
云
产品+服务
服务
服务套装
发现我们的咨询和产品服务
服务套装
发现我们的咨询和产品服务
测试服务
物理层交换机
移动网络
以太网+ip
网络安全
物联网
SD-WAN
安全保障
网络通信
云灾备
网络安全
自动化
实验室
现网
智慧厕所
云
下载中心
新闻动态
公司介绍
服务
加快入市速度
在数周内实现新技术的发布
降低复杂性和成本
管理厂商来降低成本
优化用户体验
快速发现和解决问题
强化安全防御
以前瞻方式发现和解决漏洞
需求
测试测量
网络安全
等保云灾备
智慧厕所
技术
5G
SD-WAN
SRv6
语音质量
测试自动化
DDOS攻击
物联网
云
服务
服务套装
发现我们的咨询和产品服务
服务套装
发现我们的咨询和产品服务
测试服务
物理层交换机
移动网络
以太网+ip
网络安全
物联网
SD-WAN
安全保障
网络通信
云灾备
网络安全
自动化
实验室
现网
智慧厕所
云
解决方案需求
数字化转型正在成为社会发展的新常态,智能AI技术、大数据和5G网络新技术将推动社会各行各业迈入数字新基建的新时代,构建一套完美的解决方案方能扬帆领航。
了解更多
了解更多
软件安全:漏洞和缺陷的区别
作者:容域科技
发布时间:2021-07-12
导致安全问题的软件缺陷主要有两种:部署中的漏洞和设计中的缺陷。现在软件安全市场中的大部分重点都放在发现和修复漏洞上,这主要是因为自动代码审查工具让这个过程变得很简单。但其实软件设计和架构中的缺陷问题也占据很大比率,它占所有安全问题的50%。
在这篇文章中,我们将探讨漏洞和缺陷之间的差异。更重要的是,我们将介绍架构风险分析(ARA)程序,经证明,该程序能够很好地发现和修复漏洞。
那么,漏洞和缺陷的区别是什么?也许我们可以从一些例子中得出结论。
漏洞
漏洞存在于软件代码(源代码或二进制)中。一个最经典的漏洞是缓冲区溢出漏洞,这个漏洞根本上涉及滥用C中某些字符串处理函数功能。其中最臭名昭著的函数功能是gets(),这是一个系统调用,它从用户获取输入直到用户决定点击回复。我们把一个固定大小的缓冲区想象成一个空水杯,然后想像一下,你设置了方法来从杯中取水以避免满杯(攻击者则在不断“倒水”)。如果倒太多水到杯子里,水溢出来,就回洒在台面上。在C中的缓冲区溢出的情况下,太多输入会覆盖堆,或者甚至覆盖堆栈,从而破坏程序的堆栈,造成程序崩溃或使程序转而执行其它指令以进行攻击。简单的漏洞,可怕的后果。面对gets()的问题,我们特别容易在源代码中找到漏洞。
C中有数以百计的系统调用,如果使用不当的话,它们可能会导致安全漏洞,包括从字符串处理功能到整数溢出和整数下溢等问题。当然,在Java和其他语言中也有一样多的错误。另外,在Web应用程序(例如跨站脚本或者跨站请求伪造)中也有常见漏洞以及与数据库相关的漏洞(例如SQL注入漏洞)。
面对这么多可能存在的漏洞,我们有必要部署和使用一些工具来查找它们。现在市面上有很多商业源代码审查工具,比如惠普的Fortify、IBM的AppScan Source、Coverity公司的Quality Advisor,以及Klocwork的Clocwork Insight。目前源代码审查的最新突破是直接整合漏洞查找到每个开发人员的集成开发环境(IDE)中,这样我们就能尽可能在最开始发现漏洞。比如,Cigital的SecureAssist就是这种原理。
缺陷
除了漏洞之外,我们还会看到缺陷问题。缺陷存在于软件架构和设计中。这里有一个非常简单的缺陷的例子:忘记验证用户。这种错误通常无法在代码审查中被发现,但这是一个极其严重的问题。你的进程是以root身份运行吗?最好确定谁在使用它!
其它关于缺陷的例子包括“中间攻击人”问题,它使得攻击者能在组件、网络层、机器或者网络之间进行篡改或者窃听;另外,还有与糟糕协议有关的“重放攻击”问题。
为了更好地说明缺陷,我们在这里列出了一些常见的与Java相关的缺陷问题:错误使用密码系统、设计中的分区问题、特权块保护故障(DoPrivilege())、灾难性安全故障(脆弱性)、类别安全混淆错误、不安全的审计、损坏或不合逻辑的访问控制(网络层上的RBAC)、方法覆盖问题(子类问题)、对不该信任的组件给予太多信任(客户端)。(关于这些问题的更多信息,请参阅McGraw的《保护Java》一书)。
缺陷问题与漏洞一样常见。事实上,大多数研究表明,漏洞和缺陷各占50%。当然,本文中我们讨论的是这二者的统一体。还有一些棘手的情况可能被同时归类为漏洞和缺陷,这就取决于你如何看待它。但是,在一般情况下,学习区分漏洞和缺陷对你很有意义。
本文引自51cto.com: http://netsecurity.51cto.com/art/201309/411887.htm,作者:Jim DelGrosso and Gary McGraw, 译者:邹铮。
上一篇: 全面解析高级持续性威胁(APT)
下一篇:什么是高级逃逸技术AET?
方案推荐
适用于CyberFlood和 Avalanche的思博伦CF400设备
认识IPSec
零日漏洞攻击案例
网络安全工具
企业攻防实战:六大秘诀有效对抗APT攻击
全部方案
数字新基建
智慧厕所
等保云灾备
云灾备
网络通信
测试测量
网络安全
5G
SD-WAN
SRv6
语音质量
测试自动化
DDOS攻击
物联网
010-62342972