Безопасный дизайн, в разработке программного обеспечения, означает, что программа была разработана с нуля, чтобы быть безопасной. Вредоносные практики воспринимаются как само собой разумеющееся и принимаются меры, чтобы минимизировать воздействие, когда обнаружения уязвимости или на неверный пользователей вход.
Как правило, конструкции, которые хорошо работают не полагаться на секретное. Это не является обязательным, но надлежащий уровень безопасности, как правило, означает, что каждому позволено знать и понимать конструкцию , потому что это безопасно. Это имеет то преимущество, что многие люди смотрят на код, и это повышает шансы на то, что любые недостатки будут обнаружены рано (Лайнус закон). Конечно, злоумышленники могут также получить код, что делает его легче для них, чтобы найти уязвимости , а также.
Кроме того, важно, чтобы все работало с наименьшим количеством привилегий возможность (принцип наименьших привилегий). Например, Веб-сервер , который работает в качестве администратора (root или администратора) можете иметь привилегию, чтобы удалить файлы и пользователи, которые не принадлежат себе. Таким образом, недостаток в том, что программа может поставить под угрозу всю систему. С другой стороны, Веб-сервер, который запускается визолированной среде и имеет привилегии для требуется сеть и файловую систему функций, не может скомпрометировать систему он работает, если не безопасности вокруг него в себе тоже недостатки.
Многие вещи, особенно входные, должны не доверяют надежной конструкции. В отказоустойчивой программы может даже недоверие к собственным внутренностям.Два примера небезопасной конструкции позволяют переполнение буфера и Формат строки уязвимостей. Следующая программа на Си демонстрирует эти недостатки:
#включитьзаголовочный файлТип intосновной(){char сa_chBuffer[100];функции printf("как вас зовут?\н");получает(a_chBuffer);функции printf("Привет ");функции printf(a_chBuffer);функции printf("!\н");вернуть0;}
Потому что получает функция в C стандартные библиотеки не хватит, чтобы записать байты в buffer , пока он читает символ новой строки или конца файла, набрав более 99 символов в строке является переполнение буфера. Выделение 100 символов buffer с предположением, что практически любое имя пользователя длиной не более 99 символов не помешает пользователю на самом деле набрав более 99 символов. Это может привести к произвольный машинный код выполнения.
Второй недостаток заключается в том, что программа пытается напечатать его входного сигнала при прохождении его непосредственно к printf функции. Эта функция выводит из своего первого аргумента, заменяя преобразование спецификации (например,"%с", "%д", и т. д.) последовательно с другими аргументов из стека вызовов по мере необходимости. Таким образом, если злоумышленник вошел в "%д", а не его название, программа будет пытаться распечатать несуществующее целое значение, инеопределенное поведение будет происходить.
Еще одна похожая ошибка в веб-программировании для онлайн - сценарий не для проверки его параметров. Для примера рассмотрим скрипт, который загружает статьи с именем, которое потом читать скрипт и разбирается. Такой сценарий может использовать следующие гипотетические URL-Адрес для получения статья о собачьей еды:
http://www.example.net/cgi-bin/article.sh?name=dogfood.html
Если скрипт не имеет входа проверки, а не веря, что имя это всегда действует, злоумышленник может сформировать URL-Адрес для извлечения файлов конфигурации с web-сервера:
http://www.example.net/cgi-bin/article.sh?name=../../../../../etc/passwd
В зависимости от сценария, это может выставить в/etc/passwd в файл, которого на Unix-подобных систем содержит (среди прочего) идентификаторы пользователей, ихлогины, домашний каталог дорожками и снарядами. (См. SQL-инъекций для подобной атаки.)
|
