兰州：软件开发中的安全问题

醉古意

一、安全漏洞
当程序尝试读取或写入超出范围的缓冲区时，会发生缓冲区溢出。它可能会导致覆盖或追加现有代码中的数据。以及因此带来的栈缓冲区溢出攻击。缓冲区溢出使攻击者能够执行代码、更改程序流程、读取敏感数据或使系统崩溃。包含缓冲区溢出漏洞通常发生在体系结构和设计、实现或操作阶段。
二、传输层保护不足
传输层是指数据从客户端传输到服务器路由的一个过程，在传输层安全不足的情况下，黑客可以通过网络抓取来访问数据，并根据自己的意愿修改或窃取数据。一般常规的解决方法是使用SSL和TLS加密通信。但问题是并不是所有的SSL都是一样的。其中许多SSL由第三方分析公司发行或自签名的。因此除了两种通讯加密之外，大家在进行软件开发时要使用具有适当密钥长度的行业标准密码套件，在软件中添加通信证书检测模块，如果检测到无效的证书，应立即提醒用户。
三、代码防护
使用DSA数据安全隔离系统，实现软件开发代码保护，防止源代码泄漏、扩展。在开发环境下，形成专属于开发部门的安全区域/加密子网。在加密子网内部、代码等数据存储、流转使用不受任何限制，且代码数据无法通过磁盘、网络、端口外设等途径泄漏出去。可以通过虚拟桌面使用外网，实现网络数据的单向流通（只进不出）
四、不安全的数据储存
开发人员的常见做法是依赖于数据的客户端存储。但客户端存储不是沙箱环境，安全漏洞是不可能避免的。黑客很可能通过此类问题访问数据库，从而操纵和更改数据库中的信息。确保跨平台数据存储的最佳方法是通过操作系统提供的基本级加密，然后构建一个额外的加密层。这可以大大提升了软件的安全性，减少了对默认加密的依赖。
五、底层控制的安全
事实上，危险的漏洞类型莫过于远程代码执行漏洞(ACE)，它允许攻击者在目标系统上执行任何代码。类型不安全的语言(C/C++)中薄弱的内存管理机制会导致很多漏洞，诸如ACE、释放后重引用(UAF)、二次释放和缓冲区溢出。

来源：
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！