【软件安全测试艺术—学习】漏洞是怎样隐藏到软件中去的?
2010-08-24 21:15
274 查看
大小并不重要
——犹达(Yoda)
一、在修复软件缺陷的各个阶段,程序员的态度从拒绝到开明再到怀疑的发展过程:
那种问题不可能出现
我的机器上没有出现过这种问题
那种问题不应该出现
怎么会发生那种问题
噢,我看看
以前怎么运行正常呢?
怎样防止将来出现这样的问题?
二、软件安全漏洞的两大类别
1.设计漏洞
设计漏洞是一种设计错误,往往发现于软件的安全功能特性中。
2.实现漏洞
安全漏洞是由软件实际编码中的安全缺陷造成的。
优秀的安全设计人员一般使用分类法、最低权限、攻击面缩减、密码技术等安全技术,将实现缺陷的影响或严重程度控制到最低程度。
分类法:使用高度的抽象和健壮的接口验证,以确保模型的正确使用。
最低权限:只授予用户或进程完成其工作所需的最少权限。
攻击面缩减:只保留那些完成软件功能绝对需要的接口,非必需接口予以取缔。
——犹达(Yoda)
一、在修复软件缺陷的各个阶段,程序员的态度从拒绝到开明再到怀疑的发展过程:
那种问题不可能出现
我的机器上没有出现过这种问题
那种问题不应该出现
怎么会发生那种问题
噢,我看看
以前怎么运行正常呢?
怎样防止将来出现这样的问题?
二、软件安全漏洞的两大类别
1.设计漏洞
设计漏洞是一种设计错误,往往发现于软件的安全功能特性中。
2.实现漏洞
安全漏洞是由软件实际编码中的安全缺陷造成的。
优秀的安全设计人员一般使用分类法、最低权限、攻击面缩减、密码技术等安全技术,将实现缺陷的影响或严重程度控制到最低程度。
分类法:使用高度的抽象和健壮的接口验证,以确保模型的正确使用。
最低权限:只授予用户或进程完成其工作所需的最少权限。
攻击面缩减:只保留那些完成软件功能绝对需要的接口,非必需接口予以取缔。
相关文章推荐
- 【软件安全测试艺术—学习】安全测试要点
- 软件测试的艺术学习笔记
- 软件测试的艺术学习笔记
- Web入侵安全测试与对策学习笔记之(二)——获取目标信息之其他人留下的漏洞—样例程序的缺陷
- 软件测试的艺术——学习笔记3
- 安全测试学习之XSS漏洞测试
- 软件测试的艺术————学习笔记2
- 个人学习-软件安全测试术语记录(学习ing)
- 阅读《软件测试艺术(第二版)》学习笔记之白盒测试
- 安全测试学习笔记二(对于top 10 漏洞的分析)
- 软件测试的艺术——学习笔记
- App安全测试-软件权限/安装与卸载安全性
- 不错的软件测试学习网站
- OWASP WebGoat---安全测试学习笔记(十)---注入缺陷
- 软件测试学习(1)
- 【书山有路】 软件测试的艺术第1章
- 安全测试===Mysql 注入技巧学习 MySQL注入技巧(1)
- 【安全牛学习笔记】手动漏洞挖掘(三)
- 开展应用软件安全测试所需技术储备
- 软件测试的艺术(2)代码走查,检查与评审