你的代码(软件)安全吗?

标签: 代码 软件 安全 | 发表时间:2012-03-31 08:00 | 作者:nospam@nospam.com (秩名)
出处:http://www.kuqin.com/jingyan/

2011年安全事件层出不穷,几乎可以称为“黑客年”。以前黑客通常是利用程序漏洞来造成破坏,令网站陷入尴尬的境地,但如今他们却是为了窃取数据、IP地址,或者通过在网站中植入木马将恶意软件安装到访客的电脑里,更有甚者转移账户、违反行业规定等等,因此应用程序的安全显得越来越重要。

安全漏洞 TOP5

据统计,10个程序中有8个以上在第一次测试时都不能通过OWASP(Open Web Application Security Project,开放式Web应用程序安全项目)的检查,而且有一半的开发者在基础程序安全评估中都只能获得C级甚至更低的评级。

下图展示了排名前五位的安全漏洞。其中橙色表示受影响的Web应用的比例,XSS最高;蓝色表示被黑客利用的比例,SQL注入的比例最高。

编程语言中的安全漏洞

下图展示了一些流行的编程语言中比例最高的 3 种安全漏洞。其中 XSS 的威胁依然很高,而信息泄露和加密问题也不容忽视。

不同开发模式的安全漏洞

下图展示了各种开发模式(内部开发、商业项目、开源项目)所带来的安全漏洞,其中XSS高居榜首。

首次提交OWASP测试的合格率

下图展示了内部项目、商业项目、开源项目、外包项目、综合开发项目在首次提交OWASP测试的合格率,其中内部项目最高,外包项目最低。

Android应用也不安全

Android应用的安全问题主要有两类:一类是加密问题,另一类是信息泄露问题。加密问题中61%是缺乏熵编码的问题,这通常是由于在Java程序中使用统计RNG而不用加密RNG所致。而这些问题用一行代码就能修复。

修复安全问题所需时间

其中外包项目中的安全问题通常能在一周之内修复,其次是开源项目。而其他项目的修复周期相对来说比较长一些。

如何增强程序安全性?

  • 及时更新软件。自己编写安全的软件或要求供应商及时修复安全问题。
  • 不断学习。自学巩固程序安全基础知识,参加培训班。
  • 要求供应商为其软件提供安全保证。要求供应商查看程序代码,在合同里写入安全保证条款。

[ comments ]

相关 [代码 软件 安全] 推荐:

你的代码(软件)安全吗?

- - 酷勤网-挖经验 [expanded by feedex.net]
2011年安全事件层出不穷,几乎可以称为“黑客年”. 以前黑客通常是利用程序漏洞来造成破坏,令网站陷入尴尬的境地,但如今他们却是为了窃取数据、IP地址,或者通过在网站中植入木马将恶意软件安装到访客的电脑里,更有甚者转移账户、违反行业规定等等,因此应用程序的安全显得越来越重要. 据统计,10个程序中有8个以上在第一次测试时都不能通过OWASP(Open Web Application Security Project,开放式Web应用程序安全项目)的检查,而且有一半的开发者在基础程序安全评估中都只能获得C级甚至更低的评级.

金山安全卫士代码批评

- edware_love - 博客园-首页原创精华区
金山卫士开源了,参见金山卫士开源计划. 抱着学习研究的目的下了一份看看. 中国知名通用软件厂商,民族软件业的一面旗帜就这代码水平?代码显然达不到工业级的标准,只能算是实习生练手的水准. 为了给有意拿这份代码当学习资料的初学者提个醒,不被误导,做出了一个艰难的决定,写博文来评论金山安全卫士的代码. 该用const和static的时候不用.

Python安全编码与代码审计

- - FreeBuf.COM | 关注黑客与极客
现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方式还是会导致一些常用的安全问题,下面就针对这些常用问题做一些总结. 代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上都是咱们自己的开发人员犯的错误,敏感信息已经去除. 未对输入和输出做过滤,场景:.

使用 SRI 增强 localStorage 代码安全

- - JerryQu 的小站
在上篇 介绍 Subresource Integrity(SRI)的文章最后,我提出一个问题:现在广泛被大家使用的「将 JS 代码缓存在本地 localStorage」方案有很大的安全隐患. 网站出现任何 XSS,都有可能被用来篡改缓存在 localStorage 中的代码. 之后即使 XSS 被修复,localStorage 中的代码依然是被篡改过的,持续发挥作用.

自上而下做好安全代码审查

- - ITeye资讯频道
安全的程序开发实践的一个关键方面就是 安全代码审查. 安全代码审查,与常规的代码审查一样,可以使用自动化工具完成,也可以要求开发者亲自参与到代码审查中人工完成. 那么,安全代码审查与常规的代码审查有哪些差别、如何做到更有效的安全代码审查呢. 安全代码审查:对安全知识要求高. 常规的程序代码审查需要代码审查者具备业务、程序语言和相关技术知识的积累,安全代码审查则需要具备以下 3 个不同方面的安全知识:.

两款免费的Android应用代码安全检测工具

- - FreeBuf.COM | 关注黑客与极客
‍‍FreeBuf前不久刚刚 报道过,美‍‍图秀秀、gReader、福昕PDF阅读器等14款Android应用易遭中间人攻击. 今天,央视《 新闻直播间》也用“黄金三分钟”介绍了安卓手机上存在的名为“寄生兽”的通用型安全漏洞,影响规模达到数以千万级的用户,市面上安卓90%APP都中招. 今年6月Android智能手机在美国的市场份额上升2.8%,达到64.9%.

Adobe Muse – 零代码网站制作 | 小众软件 > 办公软件

- Guan - 小众软件
Adobe 是一个令人敬畏的公司,制作收购了一系列行业顶尖的软件 Adobe Acrobat, Dreamweaver, Fireworks, Flash, InDesign(原 PageMaker), Photoshop, Premier 等等等等,成为多媒体领域的霸主. 梁丘二狗从第一次互联网泡沫开始就对该公司崇拜的五体投地.

QQ 侦探 – 打造更安全的 QQ 环境 | 小众软件 > 安全工具

- Winterth - 小众软件 - Appinn
QQ 侦探,是一款专门针为腾讯 IM 系列软件(QQ)打造的轻量级智能型安全工具,其主要功能是拦截 QQ(包括TM)的一些程序行为,让您的系统更加安全. 感谢 小众软件 Group 中的 tips 同学推荐. 江湖中经常传说着一些靠谱的、不靠谱的事情,比如某些软件会在没有通知的情况下扫描用户的私人文件,比如扫描后还会有上传行为,总之坊间的各种传说很邪乎.

Free File Wiper – 安全删除文件 | 小众软件 > 安全工具

- 子 - 小众软件
Free File Wiper 是一个安全删除文件的软件,它可以在你删除文件后的磁盘空间写入空数据,以确保这个文件不会别恢复. 以上界面是 Free File Wiper 的说明,Free File Wiper 操作很简单,将要删除的文件拖入那个垃圾筒图标,在弹出的对话框中点击 Yes 即可. Free File Wiper 的一切设置都可以在右下角的图标点击右键菜单中设置.

Coderun – 在线运行代码 | 小众软件 > 在线应用

- guoan - 小众软件 - Appinn
Coderun 是一个在线的 IDE 编辑器,支持 C# 、 .Net 、 JavaScript 和 PHP 等语言,可以在线新建、编辑、运行、调试代码,也支持代码的上传和打包下载. 官方网站 | 来自小众软件. ©2011 root for 小众软件 | 原文链接 | 1 留言 | 加入我们 | 投稿 | 订阅指南.