精华内容
下载资源
问答
  • 软件安全概述

    千次阅读 2018-09-26 21:10:20
    一、软件安全 1、软件安全关注的是计算机程序或程序中信息的完整性、机密性和可用性 2、软件的安全缺陷: 1)软件自身的缺陷,设计者故意或过失 2)软件漏洞是基本的形态,而恶意代码是延伸的形体 3)软件中的客观...

    一、软件安全
    1、软件安全关注的是计算机程序或程序中信息的完整性、机密性和可用性

    2、软件的安全缺陷:
    1)软件自身的缺陷,设计者故意或过失
    2)软件漏洞是基本的形态,而恶意代码是延伸的形体
    3)软件中的客观存在

    3、风险与安全事件
    风险:软件内在的漏洞暴露在外在的威胁时称为风险
    安全事件:软件内在的缺陷遭遇到威胁时为安全事件

    4、软件安全范围
    软件生命周期:软件设计阶段、软件编码测试阶段、软件运维阶段
    软件环境要素:软件自身、开发者、软件开发环境、软件运行环境
    软件安全功能:防反汇编/反编译、防调试跟踪、防篡改、防盗版、防内存攻击、防API违规调用、防拒绝服务、可追踪

    二、软件安全知识体系
    1、软件漏洞
    漏洞原理与案例
    漏洞挖掘与利用
    漏洞检测与防范:安全编码
    2、恶意代码
    恶意代码的机理:传统病毒、宏病毒、木马
    恶意代码的检测:检测、消除、预防、免疫、数据备份及恢复、防范策略
    3、软件保护
    软件分析(破解):静态分析和动态分析
    软件保护(反破解):防逆向分析、防动态调试、运行环境检测、反杀箱、数据校验、代码混淆技术、软件水印

    三、软件漏洞
    —缓冲器溢出
    —SQL注入漏洞
    1、软件漏洞出现的原因
    小作坊式的软件开发
    赶进度的弊端
    没有重视安全测试
    安全思想淡薄
    安全维护不完善

    2、软件漏洞的危害
    无法正常使用
    引发恶性事件
    关键数据丢失
    秘密信息泄露
    计算机感染病毒

    四、软件风险
    1、输入验证与表示
    2、API误用
    3、安全特征
    4、时间与状态
    5、错误代理
    6、代码质量
    7、封装
    8、环境

    展开全文
  • 什么是软件安全? 软件安全是网络空间安全的重要部分,主要研究软件自身的安全问题 、防护及评估技术,以及软件安全的工程化保障方法。

    软件安全部分复习总结

    第一部分 第四章 代码审计

    • 代码审核在接触点体系中的位置是什么?
      最重要的部分
    • 代码审核的作用是什么?有什么优劣势?
      在程序发布前发现安全弱点。
      能尽早发现程序的脆弱性。
    • 如何进行代码审核?
      代码审核过程主要是采用源代码静态分析工具队程序进行分析并输出报告;审核人员对报告进行甄别和过滤,踢出误报(假阳性),并确认所发现的安全缺陷。
    • 工具在代码审核中发挥什么作用?有什么局限性
      代码扫描工具的定位:计算机辅助人工代码审核。可以代替人工记住所有过滤规则,更快的对代码进行审核。
      局限性:较高的误报率和漏报率,需要人工队审核结果进行检查,同时规则也需要人工维护。

    第一部分 第五章 软件渗透测试

    • 什么是(软件)渗透测试?
      一种针对制定计算机系统,在有合法授法的前提下,模拟黑客进行的漏洞攻击
      • 比较:漏洞评估 vs 渗透测试
        漏洞评估:检查系统或服务是否存在潜在安全问题
        渗透测试:模拟黑客,并提供攻击载荷,因此比漏洞评 估更进一步。
      • 比较:软件渗透测试 vs 渗透测试
        软件渗透测试:针对单一软件或软件系统进行渗透测试
        渗透测试:针对任何信息设备或系统,包括硬件、大型 信息系统等
    • 如何做渗透测试?
      侦察–>扫描–>渗透–>驻留–>报告
    • 渗透测试常用工具及作用?
      HTTrack:获得授权进行测试的ip主机列表
      Ping,nmap:端口扫描,得到目标系统开放的端口号及其开放的服务
      Nuesse:漏洞扫描,根据开放的端口号和服务扫描可能存在的漏洞
      John the Ripper(JtR):密码破解工具
      Metasploit:漏洞攻击
      Wireshark:流量嗅探
      netcat:驻留回连
      netbus:远控肉鸡
    • web服务器扫描工具:Nikto2,Websecurity(为测试者提供交互页面,快速便捷地对web漏洞进行扫描,包括SQl注入、跨站脚本、文件包含、跨站请求伪造等)

      • 漏洞利用(Exploitation):测试者通过目标系统漏洞, 绕过系统防护机制,获取系统控制权限。
      • 漏洞利用程序,漏洞攻击程序(Exploit):预先打包发 送到目标系统中的代码集,引发异常行为,以使我们能 够执行攻击载荷。
      • 攻击载荷(Payload):一段代码,用于完成安装新软件、 创建新用户、开启后门等任务。
    • 示例: 创建一个滥用案例(Cigital提供)
      一个处理敏感财务数据库的C/S应用程序

      • 服务器端依靠客户端管理所有的数据访问许可
      • 服务器端不再检查用户的真实证书,就直接授权
      • 客户端存储有敏感数据库的一份完整的拷贝
      • 客户端程序运行在普通PC上
    • 滥用案例

      • 根据“伪装客户端(make the client invisible)”攻击模式
      • 通过嗅探网络数据流构建一个恶意客户端
      • 通过该恶意客户端与服务器端通信,骗取服务器授权,帮助恶意用户成功读取服务器数据库中信息
    • 5.1 安全风险分析方法中的共同主题

      • 分析对象(深入了解待分析的软件对象)
        • 阅读和理解规范、体系结构文档及其他设计材料
        • 进行讨论和头脑风暴
        • 确定系统便捷和数据敏感度/重要程度
        • 实际使用软件
        • 研究代码和其他的软件工作(包括代码分析工具)
      • 分析环境(讨论围绕软件对象的安全问题)
        • 对软件的运行情况展开讨论,确定有异议或含糊的地方
        • 识别可能的安全弱点,可借助工具和常见弱点列表
        • 给出安全弱点利用程序(POC),并讨论可能的修补方法
        • 理解当前的和规划的安全控制(留意它们可能引入的新风险)
      • 识别危害(确定被入侵的概率)
        • 制定利用安全缺点攻击的脚本
        • 综合平衡与防御能力,确定入侵的可能性
      • 分析影响(分析风险影响)
        • 确定风险对资产及商业目标的影响
        • 考虑风险对安全状态(posture)的影响
      • 风险评级
      • 降低风险(制定消除风险的策略)
        • 推荐一些可以消除风险的应对措施(countermeasure)
      • 形成报告(报告风险分析的结果)
        • 依据影响大小,仔细说明主要和次要风险
        • 提供一些基本信息,说明如何使用消除风险的有效资源

    第一部分 第九章 软件安全的万全之策

    • 软件构建与安全接触点
      • 需求(滥用案例)
        • 滥用案例是对软件的故意无用,并研究由此导致的后果
        • 滥用案例的作用:引导编制软件的安全需求以及相应的安全测试计划
      • 设计(商业风险分析)
        • 安全分析必须与商业风险联系起来才有价值
        • 软件构建的背后的决策者是软件风险咨询的key man/key woman
        • 必须用商业决策者能够明白的语言来表述安全风险
      • 设计(体系结构风险分析)
        • 体系结构风险分析首先要面对商业人员和决策者,运用他们能够理解的术语来描述风险
        • 然后针对软件系统总体设计、子系统及模块设计内容,分析安全风险,并形成软件体系结构安全状态的总提示图(“森林级视图”)
      • 安全测试
        • 体系结构风险分析评测软件设计方案中的技术安全问题,并与商业影响联系起来
        • 重点发现系统级获组件及设计瑕疵
        • 在体系结构风险分析的结果指导下,形成两类测试计划:功能安全测试计划、对抗性测试计划
      • 代码审核
        • 代码审核时发现实现级缺陷的有效方法
        • 审核人员应用丰富的编程开发经验
        • 静态分析工具对发现易出安全问题的脆弱点十分有用
      • 渗透测试
        • 关注点:软件配置和部署中的认为错误或过程错误
        • 好的渗透测试是由先前识别出的风险驱动,并设计成直接探测这些风险,以确认可渗透的程度
        • 网络渗透测试 vs 应用程序渗透测试:前者由外而内,后者应利用其它接触点结果,实现内外结合的高效
      • 实际应用(部署和操作)
        • 仔细配置软件并部署在安全防护环境中,将有效增强软件及系统的安全性
        • 运行中针对威胁时间进行安全操作及应急响应,并将累积的安全风险与威胁知识运用到新的软件构造过程中

    SDCL + BSI –> SDL

    • 几个术语

      • COTS 商业现货软件
      • MSA(Master Service Agreement) 主要服务合同
      • SoW (Statement of Work) 工作说明
      • SLA (Service Level Agreement) 服务水平合同
      • QoS 服务质量
    • 编码错误分类:

      • 输入确认和表示
        • 由元字符、交替出现的编码和数字表示引起的。应使用白名单进行输入确认。轻信输入导致的问题包括:缓冲区溢出、SQL注入、缓存中毒(Cache Poisoning) 等 。
      • API滥用
        • API是调用者与被调用者之间的一种契约。API调用者未能遵守契约。例如:没有在调用chroot()之后调用chdir()。
      • 安全特性
        • 软件安全不等于具有安全性的软件。例如:用SSL保护数据
      • 时间与状态
        • 在分布式计算环境中,为让多个组件互相通信,就需要共享状态。用传统的程/序执行模型描述并行化执行操作,就容易产生与线程、过程、时间和信息之间的意外交互相关的错误。
      • 错误处理
        • 现代程系统异常处理机制在一程度上与使用goto语句相似。错误和错误处理程序是一类编程契约。
      • 代码质量
        • 安全性是可靠性的子集。
      • 封装
        • 封装是在事物之间划清界线并在其间设置屏障。
      • *_环境
        • 环境包含位于你的代码之外,但对软件的安全至关重要的所有事物。应跳到软件之外,从外向内看。

    编码错误分类法


    • 判断对错:

    • 我的系统安装了杀病毒软件、防火墙、IDS(入侵 检测系统) 等产品,因此是安全的。
      即使安装了网络安全防护产品,但如果所防护的软件(比如浏览器)存在漏洞或后门,攻击者仍然可以通过浏览器穿透防护而入侵系统。
      如果软件自身存在安全缺陷,就存在穿透外围的网络安全防护的风险,系统就不是安全的。

    • 微软的Windows10是最安全的Windows操作系统。 我的电脑预装win10,因此我的系统就安全了。
      预装系统如果没有及时升级和修补漏洞,就无法保证是安全的。
      软件的随时在线升级和模块(插件)动态装在,使软件动态化。安全也必须是动态安全。

    • 我的系统中采用最好的加密算法,难以破解。因此是安全的。
      虽然采用最好地加密算法,但如果在编程实现上存在缺陷,系统也是不安全的。
      只有(算法)涉及和开发实现都是安全的,才能确保最终安全。

    • 我的系统采用了可信计算体系,因此是安全的。
      可信计算依靠环环相扣的信任链,如果其中的软件存在安全缺陷,就有可能被攻击者利用来骗取信任。
      只有(算法)涉及和开发实现都是安全的,才能确保最终安全。

    • 我的系统是自己开发的,因此是安全的。
      系统虽然是自己开发的,但难免调用第三方构建库;或者没有遵循安全的开发过程,都可能导致系统存在安全隐患。
      当今商业软件的开发依赖于全球供应链,开发过程需要有一套行之有效的安全保障方法。

    • 网络攻防就是黑客的那些事儿。
      当今的网络入侵事件既有脚本小子的捣鼓,也有国家级高水平、有组织的体系化网络攻击。
      网络战已悄然打响。

    • 什么是软件安全?
      软件安全是网络空间安全的重要部分,主要研究软件自身的安全问题 、防护及评估技术,以及软件安全的工程化保障方法

    展开全文
  • 软件安全需求分析

    千次阅读 2020-12-30 19:10:33
    文章目录一、软件与软件安全的需求分析1、软件需求分析的主要工作2、软件安全需求分析的主要工作二、软件安全需求来源1、来源的分类2、软件安全遵从性需求三、需求的获取1、获取的相关方2、获取方法 一、软件与软件...

    一、软件与软件安全的需求分析

    为了开发出满足用户需求的软件产品,首先需要知道的是用户的需求。这是对软件开发工作能否取得成功的基础条件。

    1、软件需求分析的主要工作

    为了开发出满足用户需求的软件产品,首先需要知道的是用户的需求。这是对软件开发工作能否取得成功的基础条件。
    1)确定系统的综合要求

    • 功能需求:划分系统需要的功能
    • 性能需求:指定系统的约束,包括速度、信息量、存储量等
    • 可靠性和可用性需求:顶俩个的指定系统的可靠性,它量化了系统被用户的实用程度。
    • 出错处理需求:该如何人响应错误环境。
    • 接口需求:描述系统与特的通信格式
    • 约束:应该遵循的限制条件
    • 逆向需求:说明软件不应该做什么。
    • 将来可能提出的需求:明确哪些需可能扩充到软件之中。

    2)分析系统的数据要求
    准确全面的定义数据,正确的描述数据之间的逻辑关系。
    3)导出系统的逻辑模型
    使用数据流图、实体-联系图、状态转换图、数据字典等逻辑模型。
    4)修正系统开发计划
    在分析过程中,对系统的深入理解,可以具体的、准确的估计系统的成本和进度,修正以前制定的计划。

    2、软件安全需求分析的主要工作

    1)软件安全需求分析的目的与作用

    • 目的: 描述为了实现信息安全目标,软件系统应该做什么,才能高效的提高软件的安全质量,减少软件漏洞。
    • 重要作用:一个没有惊进行安全需求分析的软件开发项目,将威胁到信息的保密性、完整性和可用性,以及其他的一些安全问题。这个软件被攻破就只是时间的问题,早晚会被攻破。所以对于一个软件来说,软件的安全需求分析是必不可少的。

    2)安全需求分析与软件需求分析的联系
    软件安全需求分析是软件需求分析的一个必要组成部分。安全需求应该与业务需求具有同样的需求水平,并能对功能需求具有约束力。
    3)安全需求分析与软件需求分析的区别
    软件安全需求的客观性:
    软件安全需求分析是由系统的客观属性决定的。与一般需求分析的不同在于:安全需求并不是从使用者的要求和兴趣出发,而是由系统的客观属性决定的。
    软件安全需求的系统性:
    软件安全需求分析不能只从系统本身出发,必须从系统角度进行分析。因为软件本身可能会由于逻辑、数据、时序等设计缺陷导致安全问题。从系统角度分析,不可避免涉及到各个领域的专业知识与经验积累。因此分析时应以人为主,分析工具只能起到辅助作用。并且分析时需要有专业的分析人员,熟悉系统架构的总体设计人员,软件设计人员和各领域专家共同参与。
    4)安全需求分析的主要工作
    首先需要确定明白你软件的业务运行环境、规则环境及技术环境。然后在了解各类软件安全需求的基础上,通过一定的安全需求获取过程,对软件应该包含的安全需求进行分析,然后对如何实际部署和开发进行讨论。

    二、软件安全需求来源

    1、来源的分类

    内部安全需求:
    内部安全需求一是指内部需要遵守的政策、标准、指南和实践模式,二是软件功能需要的相关安全需求。
    外部安全需求:
    主要是法律法规等遵从性需求,包括国家和地区的关于技术与管理的法律法规、标准与要求等。

    2、软件安全遵从性需求

    主要由信息系统安全的测评国际保准、信息安全管理的国际标准、信息系统安全工程国际标准以及我国的信息安全标准等组成。

    三、需求的获取

    1、获取的相关方

    软件安全需求获取的相关方包括 业务负责人、最终用户、客户、安全需求分析人员和安全技术支持人员等。
    业务负责人、最终用户和客户咋安全需求确定是发挥着重要作用,应当积极的参与安全需求的采集和分析过程。
    此外,运维小组与信息安全小组等技术支持人员页式相关方,应与分析人员、业务负责人、客户等做好积极沟通,寻求支持与帮助。

    2、获取方法

    1)头脑风暴
    又称之为智力激励法、自由思考法,是指无限制的思考和自由联想、讨论等,其目的在于产生新观念或者激发新创想。值得注意的是,这种情况只适用于需要快速实现的情况下使用。并且这种方式提出的安全需求可能不全面或不一致,以来于个人对问题的理解以及自身的经验等,比较主观。
    2)问卷调查和访谈
    通过问卷调查,可以直接的生成安全需求。其有效性取决于如何向被调查对象提出和是的问题。调查时应该覆盖当前软件的安全设计原则和安全配置文件的内容,应当考虑业务风险、过程风险和技术风险。
    3)策略分解
    将组织需要遵守的内部和外部政策,包括法律法规、隐私和遵从性命令分解成详细的安全需求。这是一个连续化的结构化的过程。
    4)数据分类
    更具数据的生命周期管理对数据分阶段划分来决定安全需求。也可以根据数据的重要性等级的划分来确定。

    5)主客体关系矩阵
    采用主/课题无关系矩阵来刻划一个基于使用用例的主/客体之间的操作关系,在此基础之上确立安全需求。

    展开全文
  • 软件安全性与软件可靠性

    千次阅读 2020-06-25 21:57:35
    在功能安全实践过程中,软件安全至关重要,软件的特殊性在于它的失效不可量化,一个小小的失误在特定环境下就可能无限放大。在功能安全强调软件安全性的时候,往往与软件可靠性密不可分,航空领域一般讲究可靠性,而...

    在功能安全实践过程中,软件安全至关重要,软件的特殊性在于它的失效不可量化,一个小小的失误在特定环境下就可能无限放大。在功能安全强调软件安全性的时候,往往与软件可靠性密不可分,航空领域一般讲究可靠性,而轨道交通领域和汽车领域通常讲究安全性,那么对于软件而言,安全性与可靠性到底是怎么的关系与区别,很多人存在这方面的疑惑,今天的功能安全小课堂带领大家一起探索研究一下。

    首先分别从软、硬件安全性与可靠性的关系来区分软件安全性的特点,软件安全性和软件可靠性到底是不是一回事,很多专家大咖仁者见仁智者见智,本文以下内容仅代表个人观点,欢迎各位交流讨论。

    • 软件安全性与软件的可靠性密不可分,如果说一套软件是安全的,那它一定是可靠的;但如果说一套软件是可靠的,那它不一定是安全的,用图形化表示关系如下:在这里插入图片描述
    • 硬件的安全性与硬件的可靠性有所差别,如果说一套硬件是安全的,那它不一定是可靠的;如果说一套硬件是可靠的,那它也不一定是安全的,用图形化表示关系如下:
      在这里插入图片描述
    • 接下来说明一下什么是可靠性,简单总结可靠性就是在规定的条件下规定的时间里,系统或软件执行规定功能的能力。它包含三个要素:
      规定的条件
      规定的时间
      规定的能力

      对于软件可靠性,规定的条件就是指软件所处的软硬件环境、运行环境、容量载荷、存储分布及运行方式等因素。规定的时间包括使用的时钟时间、执行时间等时间对象,不同时间内软件可靠性表现不同。规定的功能即是软件预期实现的功能。那么如何保障软件的可靠性,一般软件的可靠性与开发过程紧密联系,而对生产使用等过程依赖较少,软件故障多为设计故障,需要通过技术方法和管理流程等措施来确保软件的可靠性。而我们在功能安全研究时,也处处强调软件的安全性是靠技术和流程两方面来保证。那么软件安全性和软件可靠性区别与联系在哪里。
      在这里插入图片描述
      综上所述,软件安全性和可靠性在最初目标与最终结果上有所不同,软件安全性的目标是满足相应的安全等级要求,最终不发生事故,而软件可靠性的目标是减少BUG率,最终不发生失效。但本质上软件安全性与软件可靠性又是统一的,一切的努力都是保障软件按照正确的方式去执行。
      另外,从范围上研究,软件可靠性范围更广阔,而软件安全性是针对已定义功能的具体要求,而有些特殊场景下特殊功能,在软件开发之初没有考虑周全,软件开发过程没有对此进行定义,在软件产品实际使用过程中,特殊的环境条件可能导致软件产品程序发生故障,系统产生失效,也许会导致事故,但是严格来说,它是归属于软件可靠性的原因。因此,从这个角度来说,软件可靠性不仅包含软件安全性,还要考虑软件的全面性。
    展开全文
  • 软件安全测试

    千次阅读 2016-04-17 20:02:09
    软件安全性是指软件在系统中运行而不至于在系统工作中造成不可接受风险的能力 Software security 软件安全指软件在受到恶意攻击的情形下依然能够继续正确运行及确保软件在被授权范围内能够合法使用。 计算机安全...
  • 软件安全性测试

    万次阅读 2017-07-08 23:18:44
    软件安全性是一个广泛而复杂的主题,每一个新的软件总可能有完全不符合所有已知模式的新型安全性缺陷出现。要避免因安全性缺陷问题受各种可能类型的攻击是不切实际的。在软件安全测试时,运用一组好的原则来避免不...
  • 每周送新书:Android软件安全、深入浅出Istio、软件架构设计 本栏目每周会给大家推荐三个不同领域的新书,每周关注,总有适合你的好书。 每周送新书活动规则: 在文末评论里回复你对本周推荐图书或相关...
  • 软件安全测试之网络安全&管理安全

    千次阅读 2015-03-21 07:35:42
    书接上文:~软件安全测试之系统安全测试~ 一、组网安全 1. 产品提供网络拓扑图:按照三层模型或者其他模型设计的具备安全性的拓扑图,图中必须标明所有网络设备的逻辑连接关系,网络物理连线图(包括无线网络连接...
  • 软件安全开发 - 流程规范

    千次阅读 2019-03-20 15:37:20
    写一篇软件安全开发流程分享给大家,帮助从事软件开发,测试,管理的人员,规范操作,重视软件工程安全。 现今社会存在各种网络安全事件,比如勒索病毒导致许多网络系统瘫痪,大量注册用户个人数据泄露导致企业...
  • Android软件安全开发实践

    千次阅读 2014-09-26 10:16:53
    第一期将从数据存储、网络通信、密码和认证策略这三个角度,带你走上Android软件安全开发实践之旅。 过去两年,研究人员已发现Android上的流行软件普遍存在安全缺陷或安全漏洞。漏洞频发的原因可能有很多,例如以下...
  • 企业软件安全规范

    千次阅读 2014-11-30 12:23:40
    企业软件安全规范:http://www.docin.com/p-974939227.html
  • 作者:新思科技软件质量与安全部门...此时,也延伸出了新的安全问题 —— 联网汽车软件安全。毕竟联网汽车的软件出现问题,可能会导致严重的人身伤害,其重要程度不亚于驾驶安全。美国新思科技公司 (Synopsys, Na...
  • 25、软件安全-预防账号密码泄露

    千次阅读 2020-02-03 13:10:48
    软件安全问题本质上也是一种技术风险,我们可以借鉴对风险管理的方法来改进软件的安全问题,即风险识别、风险量化、应对计划、风险监控。 识别和量化,软件中的安全问题主要分为以下三类: 1、恶意输入 如SQL注入、...
  • 软件安全测试的几个原则

    千次阅读 2015-04-01 09:22:01
    本文从软件安全测试需要考虑的问题,来探讨软件安全测试原则,通过遵循这些原则避免许多常见的安全性测试问题出现。 关键词:软件安全;测试;原则 软件安全性是一个广泛而复杂的主题,每一个新的软件总可能有完全不...
  • 渗透测试2---软件安全测试知识体系

    千次阅读 2019-10-22 16:22:49
    软件质量特性: 1.功能性 2.性能 3.安全性 ...4.可靠性:大概就是软件运行多少时间不宕机,宕机的最少时间间隔是多少。...7.可变性(维护性):软件可以被修改的能力,随着平台的升级,...软件安全测试: 软件安...
  • 软件安全测试实战训练

    千次阅读 2011-10-15 17:58:27
    主题:《软件安全测试实战训练》时间:两天 训练大纲:一、软件安全研发过程1、缺陷与漏洞2、安全测评标准3、微软安全软件开发周期(SDL)4、常见安全漏洞CWEOWASP5、威胁建模与威胁建模工具的应用(SDL Threat ...
  • 软件安全

    千次阅读 2004-10-23 13:07:00
    2.4应用软件安全2.4.1重要性 软件主要指计算机系统中的程序(源程序和执行程序)以及程序运行所必须的数据和文档。信息系统中各种软件程序的安全必须得到重视,事实上,系统的硬件和操作系统提供了完成系统设计目标的...
  • Fortify扫描 -- 软件安全错误的分类

    千次阅读 2018-12-10 16:06:48
    软件安全错误分类 Input Validation and Representation: 输入验证和表示 API Abuse: API滥用 Security Features: 安全功能 Time and State: 时间和国家 Errors: 错误 Code Quality: 代码质量 Encapsulation: 封装 ...
  • 请求一本关于黑客 软件安全方向的书 请求推荐啊 谢谢啦 谢谢谢谢谢谢谢
  • Android软件安全与逆向分析下载链接: https://pan.baidu.com/s/1RB8tYECoGXwNh6_vlVV8sw  提取码获取方式:关注下面微信公众号,回复关键字: 1124
  • 安全应用从安全设计开始,软件安全问题很大一部分是由于不安全的设计而引入的,微软用多年的经验总结出了安全开发生命周期(SDL),并提出了攻击面最小化、STRIDE威胁建模等多种方法辅助安全人员对软件进行安全...
  • 软件安全测试方法

    千次阅读 2019-01-25 22:47:48
    渗透测试是一种合法且授权定位计算机系统,并对其成功实施漏洞攻击的方法,其目的为了使这些受测系统更加安全。测试过程包括漏洞探测和提供概念证明攻击,以证明漏洞确实存在。渗透测试也称为黑客活...
  • 软件安全性原则

    千次阅读 2006-03-27 16:19:28
    软件安全性原则: 第一部分 http://www.ibm.com/developerworks/cn/security/s-link/ 在本系列文章中,Gary 与 John 给出了设计与构建安全系统时要记住的最重要的 10 个要点。这一部分探讨了加固系统最薄弱 ― ...
  • Android软件安全风险及规范

    千次阅读 2011-09-02 10:24:39
    1 Android系统安全模型... 1 1.1 Android系统架构... 1 1.2 Android应用程序的构成、运行和访问特性... 1 1.3 Android安全模型的三个组成部分... 2 2 Android软件安全风险...
  • 章13 软件安全性测试

    千次阅读 2007-02-11 22:35:00
    章13 软件安全性测试黑客、病毒、蠕虫、间谍软件、后面程序、木马、拒绝服务攻击都是计算机的安全问题。1、驾驶攻击随着在城域网中普及无线高保真(WiFi)网络,黑客们可以驾驶车子,带着笔记本,在城市的街道上兜...
  • 软件安全开发生命周期读书笔记

    千次阅读 2010-06-29 10:55:00
    软件安全开发生命周期读书笔记
  • 软件安全性测试主要包括程序、数据库安全性测试。根据系统安全指标不同测试策略也不同。 用户身份认证安全的测试要考虑问题: 1.明确区分系统中不同用户权限 2.系统中会不会出现用户冲突 3.系统会不会因用户的权限...
  • 软件安全性能测试(转载)

    万次阅读 2009-10-11 14:27:00
    这个软件因为涉及客户商业上重要的信息资料,因此用户关心的核心问题始终围绕“这个软件安全吗”。一个由于设计导致的安全漏洞和一个由于实现导致的安全漏洞,对用户的最终影响都是巨大的。我的任务就是确保这个...
  • 医疗器械软件安全性级别判定

    千次阅读 2019-05-28 16:07:00
    软件描述文档的详略程度,直接由软件安全性级别和复杂程度来决定。因此,确定在编制一个医疗器械软件的描述文档时,首先要确定的就是该软件安全性级别。 根据YY/T 0664《医疗器械软件软件生存周期过程》的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 104,597
精华内容 41,838
关键字:

软件安全