背景

安全性在軟件開發(fā)過程中是一個極其重要和深刻的話題。當(dāng)安全性受到損害時(shí)，會發(fā)生非常糟糕的事情。我們在軟件開發(fā)生命周期的各個階段都必須記住這一點(diǎn)。

不同于一些其他非功能性要求，一般不能在之后才在系統(tǒng)中考慮到安全性。開發(fā)一個相對安全的項(xiàng)目離不開一個安全規(guī)則的指導(dǎo)，一個好用的開發(fā)工具，一套安全的編碼規(guī)范。

下面就從開發(fā)安全規(guī)則、開發(fā)工具的安全利用，安全編碼這三方面進(jìn)行分析。降低軟件中的漏洞，包括但不限于緩沖區(qū)溢出、邊界外的數(shù)組訪問、未初始化的內(nèi)存使用、類型混淆等安全漏洞。

安全開發(fā)規(guī)則

一個好的安全開發(fā)指導(dǎo)規(guī)則，能夠在開發(fā)軟件過程中挖掘出漏洞的。這個好的安全規(guī)則首選推薦微軟的SDL(安全開發(fā)生命周期)。下面就梳理下這個SDL的一些相對核心的理論基礎(chǔ)。

它主要側(cè)重于軟件開發(fā)的安全保證過程。SDL致力于減少軟件中漏洞的數(shù)量和嚴(yán)重性。

SDL的核心理念是將安全考慮集成在軟件開發(fā)的每一個階段:需求分析、設(shè)計(jì)、編碼、測試和維護(hù)。從需求、設(shè)計(jì)到發(fā)布產(chǎn)品的每一個階段每都增加了相應(yīng)的安全活動，以減少軟件中漏洞的數(shù)量并將安全缺陷降低到最小程度。

SDL基于三個核心概率：培訓(xùn)教育、持續(xù)過程改善和責(zé)任。

SDL的一個主要目標(biāo)：安全和隱私。

SDL在開發(fā)過程的所有階段進(jìn)行安全和隱私保護(hù)

安全開發(fā)生命周期 (SDL)由一組支持安全保證和合規(guī)性要求的實(shí)踐組成。SDL 通過減少軟件中漏洞的數(shù)量和嚴(yán)重性，同時(shí)降低開發(fā)成本，幫助開發(fā)人員構(gòu)建更安全的軟件。

SDL詳細(xì)步驟

SDL安全設(shè)計(jì)核心原則主要包括：攻擊面最小化、基本隱私、權(quán)限最小化、默認(rèn)安全、縱深防御、威脅建模。下面就這對這些原則展開做個簡單解析。

攻擊面最小化(Attack Surface Reduction):

指盡量減少暴露惡意用戶可能發(fā)現(xiàn)并試圖利用的攻擊面數(shù)量。軟件產(chǎn)品的受攻擊面是一個混合體，不僅包括代碼、接口、服務(wù)，也包括對所有用戶提供服務(wù)的協(xié)議。尤其是那些未被驗(yàn)證或者遠(yuǎn)程的用戶都可以訪問到的協(xié)議，安全人員在攻擊面最小化時(shí)首先要對攻擊面進(jìn)行分析，攻擊面分析就是枚舉所有訪問入庫、接口、協(xié)議一劑可執(zhí)行代碼的過程，從更高層次來說，攻擊面分析著重于如下4點(diǎn):

1、降低默認(rèn)執(zhí)行的代碼量

2、限制可訪問到代碼的人員范圍

3、限定可訪問到代碼的人員身份

4、降低代碼執(zhí)行所需權(quán)限

基本隱私(Basic Privacy):

指用戶在使用軟件時(shí)無可避免個人信息被收集、使用甚至分發(fā)，企業(yè)則有責(zé)任和義務(wù)建立保護(hù)個人信息的保護(hù)措施，抵御敵對攻擊行為，確保用戶基本隱私的安全性。

權(quán)限最小化(Least Privilege):

指如果一個應(yīng)用程序或網(wǎng)站被攻擊、破壞，權(quán)限最小化機(jī)制能夠有效的將潛在損害最小化。常見的權(quán)限最小化實(shí)踐如:

1、普通管理員/系統(tǒng)管理員等角色管理

2、文件只讀權(quán)限/文件訪問權(quán)限等訪問控制

3、進(jìn)程/服務(wù)以所需最小用戶權(quán)限運(yùn)行

默認(rèn)安全(Secure Defaults):

默認(rèn)安全配置在客戶熟悉安全配置選項(xiàng)之前不僅有利于更好的幫助用戶掌握安全配置經(jīng)驗(yàn)，同時(shí)也可以確保應(yīng)用程序初始狀態(tài)下處于較安全狀態(tài)。

縱深防御(Defense in Depth):

縱深防御包含兩層含義：首先，要在各個不同層面、不同方面實(shí)施安全方案，避免出現(xiàn)疏漏，不同安全方案之間需要相互配合，構(gòu)成一個整體；其次，要在正確的地方做正確的事情，即：在解決根本問題的地方實(shí)施針對性的安全方案。

威脅建模(Threat Modeling):

威脅建模是一種分析應(yīng)用程序威脅的過程和方法。這里的威脅是指惡意用戶可能會試圖利用以破壞系統(tǒng)。

工具安全

下面就以visual studio工具進(jìn)行展開，利用工具上的幾個配置進(jìn)行提高軟件安全性。使用這些工具和做法并不會使應(yīng)用程序免受攻擊，但能降低攻擊成功的可能性。

1、代碼分析功能

此編譯器選項(xiàng)將激活報(bào)告潛在安全問題（比如緩沖區(qū)溢出、未初始化的內(nèi)存、null指針取消引用和內(nèi)存泄漏）的代碼分析。此選項(xiàng)默認(rèn)已關(guān)閉。建議開啟這個開關(guān)。

2、/GS（緩沖區(qū)安全檢查）

這個的安全檢查主要處理：函數(shù)調(diào)用的返回地址;函數(shù)的異常處理程序的地址;易受攻擊的函數(shù)參數(shù)。導(dǎo)致緩沖區(qū)溢出是黑客用來利用不強(qiáng)制實(shí)施緩沖區(qū)大小限制的代碼的技術(shù)。

指示編譯器將溢出檢測代碼插入到面臨被利用風(fēng)險(xiǎn)的函數(shù)中。檢測到溢出時(shí)，則停止執(zhí)行。默認(rèn)情況下，此選項(xiàng)處于啟用狀態(tài)。

傳遞到函數(shù)中的易受攻擊的參數(shù)。易受攻擊的參數(shù)是指針、C++ 引用、C 結(jié)構(gòu) (C++ POD 類型) 包含指針或 GS 緩沖區(qū)。

3、/DYNAMICBASE（使用地址空間布局隨機(jī)化）

使用 Windows 的地址空間布局隨機(jī)化 (ASLR) 功能，指定是否生成可在加載時(shí)隨機(jī)重新設(shè)定基址的可執(zhí)行文件映像。

通過使用此鏈接器選項(xiàng)，可以生成一個在執(zhí)行開始時(shí)可在內(nèi)存的不同位置加載的可執(zhí)行映像。此選項(xiàng)還使內(nèi)存中的堆棧位置更加不可預(yù)測。

編碼安全

當(dāng)前軟件中都可能存在相同類別的內(nèi)存安全漏洞，也可能存在于推理且無序的執(zhí)行路徑中，包括但不限于緩沖區(qū)溢出、邊界外的數(shù)組訪問、未初始化的內(nèi)存使用、類型混淆等漏洞。

一個套規(guī)范的安全開發(fā)可以大大降低軟件漏洞的風(fēng)險(xiǎn)，安全開發(fā)通常需要我們在編碼過程中做到

1、不要使用那些易受攻擊的API函數(shù)；

2、要做好對輸入?yún)?shù)做校驗(yàn)；

3、慎重使用強(qiáng)制類型轉(zhuǎn)換；

4、防止算術(shù)溢出和下溢；

5、異常捕獲是定時(shí)炸彈；

6、多用安全工具進(jìn)行檢查代碼；

7、文件操作過程中要做好路徑和權(quán)限管控。

1、系統(tǒng)函數(shù)

系統(tǒng)函數(shù)的使用可以大大降低代碼的開發(fā)工作量，但使用不安全的系統(tǒng)函數(shù)那就得不償失了。

在開過過程中許多舊CRT函數(shù)具有持續(xù)更新、更安全的版本。如果存在安全函數(shù)，則較舊的、安全性更低的版本將標(biāo)記為已棄用，并且新版本具有 _s（“安全”）后綴。

安全函數(shù)不會阻止或更正安全錯誤。相反，它們會在發(fā)生錯誤時(shí)捕獲錯誤。它們對錯誤情況執(zhí)行其他檢查。如果出現(xiàn)錯誤，則調(diào)用錯誤處理程序。

上圖中函數(shù)strcpy 無法判斷正在復(fù)制的字符串對于目標(biāo)緩沖區(qū)而言是否太大。其安全對應(yīng)項(xiàng) strcpy_s 會將緩沖區(qū)大小作為參數(shù)。因此,可以確定是否會發(fā)生緩沖區(qū)溢出。如果你使用 strcpy_s 將 11 個字符復(fù)制到 10 個字符緩沖區(qū)中，則這是你方造成的錯誤；strcpy_s 無法更正錯誤。

2、SafeInt庫

SafeInt它是可以與 MSVC、GCC或 Clang 結(jié)合使用的可移植庫，有助于防止在應(yīng)用程序執(zhí)行數(shù)學(xué)運(yùn)算時(shí)可能會出現(xiàn)的整數(shù)溢出而被利用。SafeInt庫包括 SafeInt 類、SafeIntException 類和幾個SafeInt 函數(shù)。

SafeInt 類可防止整數(shù)溢出和被零除攻擊?？梢酝ㄟ^使用它處理不同類型的值之間的比較。它提供了兩種錯誤處理策略。默認(rèn)策略是針對引發(fā) SafeInt 類異常的 SafeIntException 類，以報(bào)告無法完成數(shù)學(xué)運(yùn)算的原因。第二個策略針對 SafeInt 類,用以停止程序的執(zhí)行。還可以定義自定義策略。

每個 SafeInt 函數(shù)各保護(hù)一個數(shù)學(xué)運(yùn)算免于出現(xiàn)可被利用的錯誤。使用兩種不同的參數(shù)，而不必將它們轉(zhuǎn)換為相同類型。若要保護(hù)多個數(shù)學(xué)運(yùn)算，請使用 SafeInt 類。

3、信任邊界

信任邊界存在于應(yīng)用程序可能與信任度較低的上下文提供的數(shù)據(jù)進(jìn)行交互的位置，例如系統(tǒng)上的另一個進(jìn)程，或者內(nèi)核模式設(shè)備驅(qū)動程序中的非管理用戶模式進(jìn)程。

4、類型轉(zhuǎn)換

類型強(qiáng)制轉(zhuǎn)換使用盡可能用C++的風(fēng)格static_cast<>，dynamic_cast<>，它允許允許更多編譯器檢查，并且更為顯式，相對更安全。

5、接口應(yīng)用

無論是C還是C++的編程范式，從實(shí)用的角度，最終對面向接口編程，好的代碼接口具備下述特性:

1、Self-describing，即自描述性，設(shè)計(jì)清晰簡潔的API接口名稱，一眼就能知道是什么功能。

2、Clear hierarchy，即清晰的層級性，API的接口大類不能與小類相混淆。

3、Granularity sex，即粒度性，掌控好粒度性的API接口，不能太過于粗糙，盡量細(xì)分化，容易后續(xù)的擴(kuò)展。

6、外部可控函數(shù)

盡量減少使用外部可控?cái)?shù)據(jù)作為啟動函數(shù)的參數(shù)例如：system、WinExec、ShellExecute、CreateProcess、execv、ececvp ，popen;如果外部可控作為這些函數(shù)的參數(shù)，就會有導(dǎo)致被注入的風(fēng)險(xiǎn)。如果確實(shí)需要使用這些函數(shù),可以使用白名單機(jī)制驗(yàn)證其參數(shù)，確保這些函數(shù)的參數(shù)不受到外來數(shù)據(jù)的命令注入影響。

7、文件操作

對文件操作的時(shí)候可以幾個降低安全風(fēng)險(xiǎn)

1、當(dāng)文件路徑來自外部數(shù)據(jù)時(shí)候，需要先將文件路徑規(guī)范化，這個沒處理攻擊者就會有機(jī)會通過惡意構(gòu)造文件路徑進(jìn)行文件的越權(quán)訪問。

2、創(chuàng)建文件時(shí)候必須做好指定文件的訪問權(quán)限

int open( const char * pathname, int flags);

int open( const char * pathname, int flags, mode_t mode);

盡可能使用第二個模式。

小結(jié)

以上知識的梳理更多從基礎(chǔ)理論出發(fā)，并且很多詳細(xì)細(xì)節(jié)還有待在后續(xù)實(shí)踐進(jìn)行進(jìn)一步的完善。

軟件安全和二進(jìn)制漏洞是一個永恒的對抗話題，基于一套安全的開發(fā)規(guī)范，指導(dǎo)在開發(fā)安全生命周期內(nèi)進(jìn)行推進(jìn)軟件開發(fā)。并且加強(qiáng)開發(fā)中的安全意識的培養(yǎng)，又助于降低減少軟件的漏洞的出現(xiàn)。

審核編輯：劉清