“软件宝宝”的安全成长史
“软件宝宝”的安全成长史(原创文章,转载请申明出处)
作者:黄启清
日期:2008-5-10(08年母亲节的前一个晚上)
谨以此文献给我最亲爱的妈妈(http://mama520.cn)
还记得小时候,我的妈妈会经常对我说“清,别去河边玩,那里很危险!……”
长大了,我的妈妈也会跟我说“清,在外面工作,晚上不要去偏僻的地方玩!……“
我们很多人都说自己的妈妈很啰嗦,其实我们的妈妈都是很爱我们的!她们随时都为我们考虑,她们担心我们的生活问题,安危问题,她们会关心我们的一切!
今天,我们来当一回“软件宝宝”的妈妈了,为她来考虑一切了!
“软件宝宝”出生之前,我们要考虑“软件宝宝”的问题:
1、“软件宝宝”在还未出生之前,肯定是在我们的肚子里面的(^_^),所以先保证我们自己(母体)的安全,也就是保证了“软件宝宝”出生前的安全!比如:我们不要受到外部的侵害,我们不要吃不干净的东西,我们要保证自己的身体健康,安全,这样才能够保证“软件宝宝”的安全!
详细解释:为软件开发提供一个稳定,功能齐全的操作平台,以避免系统受到外部的功击,比如黑客,病毒,蠕虫。最好是让开发的环境与互联网之间设置对应的访问网关!
防范措施:为我们软件开发平台安装最新杀毒软件以及防火墙。
案例说明:曾经某著名软件开发公司的产品在发布之后的几天用户都反应计算机变慢,很多应用程序自动关闭等中毒现象。后经查实发现是其软件开发部门的操作平台中毒!
“软件宝宝”出生之后,我们要考虑“软件宝宝”的问题:
1、教会“软件宝宝“认人,这个是“妈妈”,那个是“爸爸”,那个是”爷爷“,那个是……,其他的就不认识了!当不认识的人来抱你折时候,你要大声哭着叫“妈妈”,让“妈妈”来保护你!
详细解释:软件系统的用户验证是重要的一部分,比如网银系统的登陆证书、用户名以及口令等,当非法入侵者尝试以破解密码的方式进入系统时,当猜测次数到达指定次数时,我们的软件系统就应该记录下这个用户的特征以方便我们日后的动作(包括IP地址,时间等)然后我们的软件系统可以不用理会这个用户了!
防范措施:为防止入侵者暴力破解我们的用户口令,我们可以采用验证码(可以采用变形汉字验证码或者智能问答)、安全证书等方案!
案例说明:我记得2000年时,很多用户登陆验证应用程序(包括WEB应用程序在内)只有用户名以及密码的验证,并没有验证码以及安全证书这些东东的,所以之前WEB E-Mail登陆是可以用小榕所开发的溯雪工具可以破解的!
2、教会“软件宝宝”什么是好人,什么是坏人,什么东西可以吃,什么东西不能够吃!
详细解释:软件的自我保护能力,比如软件的防篡改能力,防缓冲区溢出功击,软件的反跟踪能力,软件的数据输入验证等
防范措施:
- 防篡改的一般作法检测应用程序本身的MD5值。
- 软件反破解跟踪一般采用结束常用的分析我们软件的工具进程(SoftICE,OllyDBG),添加花指令等方法,详细请参考:http://bbs.pediy.com)
- 软件的数据输入验证一般常用的方法是对长度,类型,以及非法字符等方面的验证,比如网上常用的SQL注入,XSS漏洞等的防范方式。
案例说明:
1、某用户通过ResHacker、Exescope工具就可以修改我们辛苦开发出来的软件作品,本来我们发布的都是免费软件,可是过段时间连软件的作者都变成"软件作者:张XX"了,郁闷吧?
2、自己辛苦开发出来的软件,本打算通过注册费收点生活费,没想到被Cracker们给破解掉了,还弄了一个注册机出来!!
3、软件(WEB应用程序)的数据输入验证,比如newhua,qq网站的XSS漏洞,以及过去不久前的cnblogs的闪存漏洞,都是因为这个方面没考虑周全所导致的!
3、教会“软件宝宝”哪些事能够随便说给外人,哪些事(隐私问题)不能够随便说给别人,要保密!
详细解释:软件机密数据要进行加密处理,比如客户资料信息,用户密码等数据。以避免入侵者进入后台数据库后,直接能够拿到我们的数据。
防范措施:对机密数据进行加密存储。
案例说明:某入侵者通过最新的数据库漏洞,如ORACLE,MYSQL,MSSQL的漏洞进入入数据库服务器,直接偷走了我们的数据库,而我们的数据库资料都未做加密处理。
4、教会“软件宝宝”在说秘密话的时候,最好说俚语(^_^),让别人听不懂!
详细解释:软件之间的通信安全也值得重视,我们要对通信的数据包进行加密处理,以防止窃听出现!
防范措施:对通信内容通过相应的加密算法进行加密。
案例说明:某入侵者通过Sniffer工具窃听软件的通信,这些数据都未进行加密,使得入侵者看到了通信所有内容!
备注:案例部分为个人实践经验或者是网上案例,我并没有长篇论述实际案例!(请朋友们谅解)
文章中只把我所想到的写上来而已,欢迎朋友们对我的文章进行补充说明,更加欢迎朋友们对我的文章多点支持,多点批评,只有这样,我才会有所进步!
