通過限制代碼中原語的數(shù)量，開發(fā)人員可以使黑客利用軟件的過程更加困難，從而增加利用成本并降低其可能性。

軟件對(duì)軍隊(duì)的野戰(zhàn)防御和作戰(zhàn)支援能力越來越重要。軍事和航空航天系統(tǒng)中的嵌入式軟件必須既可靠又安全，因?yàn)榘踩┒纯赡芘c行業(yè)開發(fā)的許多控制措施來防止的功能缺陷一樣危險(xiǎn)。

許多用于解決功能或質(zhì)量缺陷的相同技術(shù)也可以減少安全漏洞。在軟件開發(fā)方面，安全缺陷應(yīng)被視為軟件缺陷，并作為開發(fā)過程的一部分進(jìn)行管理。事實(shí)上，安全和質(zhì)量之間的區(qū)別有時(shí)可能是微妙的。今天表現(xiàn)為系統(tǒng)故障的缺陷明天可能會(huì)被攻擊者利用。

缺陷本質(zhì)上是潛在的利用原語1，黑客可以創(chuàng)造性地將其串在一起進(jìn)行攻擊。開發(fā)人員可以通過消除盡可能多的原語來使攻擊者利用軟件的過程更加困難。下面的示例演示如何將多個(gè)基元鏈接在一起以實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

多基元攻擊示例

假設(shè)駐留在遠(yuǎn)程上的代碼中存在安全漏洞。雖然確定根本原因足以修復(fù)缺陷，但成功利用該漏洞取決于多個(gè)預(yù)先存在的條件。對(duì)于此示例的上下文，我們假設(shè)攻擊者嘗試實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行 （RCE），從而在遠(yuǎn)程計(jì)算機(jī)上運(yùn)行攻擊者選擇的代碼。雖然觸發(fā)安全漏洞是實(shí)現(xiàn)RCE所必需的，但它實(shí)際上需要許多小步驟，我們稱之為利用原語。通過將這些原語鏈接在一起，攻擊者可以創(chuàng)建一個(gè)可靠工作并在漏洞利用結(jié)束后保持穩(wěn)定性的漏洞利用。

在我們的示例中，攻擊者使用（但不限于）四個(gè)唯一的基元。使用的第一個(gè)原語是軟泄漏2，它利用合法的程序功能來操作目標(biāo)應(yīng)用程序中的內(nèi)存，而不會(huì)對(duì)穩(wěn)定性或安全產(chǎn)生影響。這些基元恰好是最常見的，因?yàn)樗鼈円蕾囉陬A(yù)期的有效程序功能。例如，根據(jù)設(shè)計(jì)，服務(wù)器將接受來自客戶端的請(qǐng)求。該客戶端發(fā)送在會(huì)話終止發(fā)生之前一直保留的信息。漏洞利用編寫者可以通過確定這些請(qǐng)求和會(huì)話的工作原理，根據(jù)特定應(yīng)用程序的功能對(duì)其內(nèi)存布局做出某些假設(shè)。

下一個(gè)使用的基元是硬泄漏2。硬泄漏或資源泄漏對(duì)于大多數(shù) C/C++ 程序員來說非常熟悉。當(dāng)程序員忘記釋放在運(yùn)行時(shí)動(dòng)態(tài)獲取的內(nèi)存時(shí)，就會(huì)發(fā)生泄漏。雖然大多數(shù)程序員認(rèn)為這是一個(gè)質(zhì)量問題，在最壞的情況下會(huì)導(dǎo)致大量?jī)?nèi)存消耗，但許多開發(fā)藝術(shù)家認(rèn)為這是確保漏洞利用穩(wěn)定性的機(jī)會(huì)。攻擊者可以通過永久獲取內(nèi)存來確保內(nèi)存的某些部分在進(jìn)程的整個(gè)生存期內(nèi)永遠(yuǎn)不會(huì)被使用。

使用的第三個(gè)基元是整數(shù)溢出。如果數(shù)學(xué)運(yùn)算嘗試存儲(chǔ)大于整數(shù)可以容納的數(shù)字，則多余的數(shù)字將丟失。多余數(shù)據(jù)的丟失有時(shí)稱為整數(shù)換行。例如，無符號(hào) 32 位整數(shù)可以保存最大正值。通過將 1 加到該最大正值，整數(shù)將在零 （UINT_MAX + 1 == 0） 處再次開始計(jì)數(shù)。一個(gè)真實(shí)的例子是汽車在行駛 100 萬英里后翻車并從零重新開始里程計(jì)數(shù)的里程表。攻擊者可以通過在分配例程中使用此溢出整數(shù)來分配比預(yù)期更少的內(nèi)存。

最后，最后一個(gè)使用的基元是緩沖區(qū)溢出。這是 C/C++ 程序中最常見的具有安全影響的缺陷類型。當(dāng)程序?qū)懭氤^緩沖區(qū)末尾時(shí)，會(huì)導(dǎo)致緩沖區(qū)溢出，從而導(dǎo)致相鄰內(nèi)存內(nèi)容損壞。在某些情況下，這可能會(huì)導(dǎo)致覆蓋堆?；蚨训膬?nèi)容，從而允許攻擊者破壞系統(tǒng)的正常運(yùn)行，并最終接管程序的控制流。

RCE 中的原始用法

現(xiàn)在，基元類型已經(jīng)介紹完畢，讓我們討論示例中的攻擊者如何利用它們來實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。首先，通過使用現(xiàn)有的程序功能，攻擊者發(fā)送有效的請(qǐng)求，導(dǎo)致根據(jù)其輸入的大小分配許多內(nèi)存塊。這似乎無害，但對(duì)于實(shí)現(xiàn)堆確定性至關(guān)重要：將應(yīng)用程序的內(nèi)存布局操作到已知的理想狀態(tài)，這在利用基于堆的緩沖區(qū)溢出時(shí)是強(qiáng)制性的。接下來，漏洞利用作者知道一些內(nèi)存一旦分配，就永遠(yuǎn)不應(yīng)該再釋放。通過利用應(yīng)用程序中的硬泄漏，可以實(shí)現(xiàn)在進(jìn)程的整個(gè)生命周期中保持內(nèi)存的目標(biāo)，從而提高開發(fā)后的穩(wěn)定性。

觸發(fā)了導(dǎo)致未充分分配的堆緩沖區(qū)溢出的整數(shù)溢出。這會(huì)導(dǎo)致分配緩沖區(qū)的實(shí)際大小與其包含的預(yù)期數(shù)據(jù)元素?cái)?shù)不匹配。然后，攻擊者可以利用緩沖區(qū)溢出來覆蓋相鄰內(nèi)存的內(nèi)容。例如，假設(shè)無法確定一張規(guī)則紙的最后一行。如果你按順序繼續(xù)寫句子，你最終會(huì)在桌子上寫字，并可能寫下那件漂亮的新襯衫。通過覆蓋相鄰內(nèi)存，攻擊者可以用他控制的數(shù)據(jù)覆蓋重要信息。

無論嚴(yán)重性如何，將基元鏈接在一起的能力都可以更好地控制利用和開發(fā)后功能。如果我們的攻擊者沒有能力在應(yīng)用程序中創(chuàng)建硬泄漏，他將不得不找出一種不同的方法來確保他的內(nèi)存在會(huì)話超時(shí)時(shí)不會(huì)被釋放，或者他至少會(huì)意識(shí)到最終的程序崩潰是不可避免的。如果整數(shù)溢出不存在，我們的攻擊者根本沒有機(jī)會(huì)利用。

利用原語和安全漏洞之間的聯(lián)系可以是直接或間接的。某些類型的基元（如緩沖區(qū)溢出）可能導(dǎo)致許多不同類型的漏洞，具體取決于攻擊者的技能、創(chuàng)造力和決心。然而，顯而易見的是，擁有更多可用的原語使攻擊者更容易利用更嚴(yán)重的漏洞并開發(fā)破壞性漏洞。因此，在開發(fā)過程的早期查找和消除大量利用原語可以極大地幫助減少應(yīng)用程序服務(wù)期間的安全漏洞暴露和維護(hù)成本。

保護(hù)代碼開發(fā)的實(shí)用方法

開發(fā)可靠且安全的軟件是 IT 團(tuán)隊(duì)面臨的一項(xiàng)艱巨挑戰(zhàn)，因?yàn)閷踩珳y(cè)試盡早集成到開發(fā)生命周期中的計(jì)劃尚未得到廣泛采用。這并不是說開發(fā)人員不想開發(fā)安全的產(chǎn)品，而是他們專注于提供新的特性和功能，并且經(jīng)常面臨滿足發(fā)布截止日期的巨大壓力。除了缺乏投資加強(qiáng)安全性的經(jīng)濟(jì)激勵(lì)外，開發(fā)人員傳統(tǒng)上沒有接受過安全專家的培訓(xùn)。計(jì)算機(jī)科學(xué)課程的重點(diǎn)是培養(yǎng)具有成為優(yōu)秀應(yīng)用程序開發(fā)人員基礎(chǔ)的程序員，但不一定是安全專家。因此，今天的開發(fā)人員基本上沒有意識(shí)到他們可以在代碼中引入安全問題的無數(shù)種方式，并且在發(fā)現(xiàn)安全問題時(shí)也沒有資金來修復(fù)它們。

開發(fā)測(cè)試解決方案需要從開發(fā)人員的角度進(jìn)行設(shè)計(jì)。這意味著要解決使開發(fā)人員回避傳統(tǒng)安全評(píng)估工具的主要問題：缺乏可用性和高誤報(bào)率。尋求將安全測(cè)試集成到其流程中的開發(fā)經(jīng)理應(yīng)尋找能夠提供以下功能的自動(dòng)化開發(fā)測(cè)試工具：

清晰解釋缺陷，噪音?。洪_發(fā)人員根本沒有時(shí)間浪費(fèi)時(shí)間試圖篩選嘈雜的結(jié)果，或重現(xiàn)實(shí)際上不存在的虛幻缺陷。他們需要易于理解且誤報(bào)盡可能少的缺陷。

在編寫代碼時(shí)及早并經(jīng)常檢測(cè)缺陷：確定缺陷的確切原因需要付出大量努力，修復(fù)缺陷可能涉及大量的體系結(jié)構(gòu)更改。盡早發(fā)現(xiàn)關(guān)鍵缺陷使開發(fā)團(tuán)隊(duì)能夠預(yù)測(cè)工作負(fù)載和對(duì)發(fā)布計(jì)劃的影響，從而降低整個(gè)項(xiàng)目的成本。

有關(guān)如何修復(fù)安全缺陷的可操作且正確的建議：作為安全評(píng)估的一部分提供的缺陷修正建議通常不會(huì)針對(duì)軟件包中使用的相關(guān)框架、語言或庫(kù)進(jìn)行自定義。開發(fā)人員很難將通用建議轉(zhuǎn)化為有效的修復(fù)程序，這通常會(huì)導(dǎo)致應(yīng)用錯(cuò)誤或不完整的修復(fù)程序，從而導(dǎo)致客戶流失和返工。

缺陷是軟件開發(fā)不可避免的事實(shí)。雖然可能無法完全防止在代碼開發(fā)過程中引入漏洞，但現(xiàn)在存在的技術(shù)和流程可以幫助開發(fā)人員盡可能快速有效地查找和修復(fù)這些缺陷。

審核編輯：郭婷