隨著網(wǎng)絡(luò)的發(fā)展，特別是移動(dòng)互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)服務(wù)與我們個(gè)人生活聯(lián)系得越來(lái)越緊密;辦理金融業(yè)務(wù)，生活繳費(fèi)，獲取資訊等等，都從線下搬到了線上。一個(gè)新的時(shí)代必將到來(lái)或者已經(jīng)到來(lái)，那就是萬(wàn)物互聯(lián)的時(shí)代。與此同時(shí)，網(wǎng)絡(luò)安全事件頻發(fā)，安全事故的危害越來(lái)越大，互聯(lián)網(wǎng)從業(yè)者需要越來(lái)越注重安全問(wèn)題。這里分享一些心得給剛剛接觸網(wǎng)絡(luò)安全的開(kāi)發(fā)者們。

[[282782]]

一、“安全”是什么

對(duì)于沒(méi)有接觸過(guò)安全的開(kāi)發(fā)人員來(lái)講，一個(gè)常見(jiàn)的問(wèn)題是：如何寫出安全的代碼或做出安全的系統(tǒng)。為了找到答案，我們就必須對(duì)安全的定義有所了解。“安全”是一個(gè)很寬泛的概念，那這里給出一個(gè)很寬泛的定義：被保護(hù)的對(duì)象不被破壞、篡改、泄漏，系統(tǒng)功能可以正常運(yùn)行。是不是一頭霧水?“安全”定義的關(guān)鍵問(wèn)題是，什么是需要保護(hù)的對(duì)象，保護(hù)的需求是什么;沒(méi)有明確的安全的需求，我們就無(wú)法談?wù)摪踩?。比如常?jiàn)的安全問(wèn)題有，通信協(xié)議是否安全，數(shù)據(jù)存儲(chǔ)是否安全等等;此外還有運(yùn)行環(huán)境是否安全，代碼是否安全。所以當(dāng)我們想要寫安全的代碼或者實(shí)現(xiàn)一個(gè)安全的系統(tǒng)之前，我們可以先問(wèn)問(wèn)自己，我想要保護(hù)的對(duì)象是什么。不同的安全的需求，需要做出的安全的防護(hù)方式也是不同的。如果不知道你想要的是什么，那么你就不會(huì)得到它。

明白了安全的定義，下一個(gè)問(wèn)題是：如何知道實(shí)施的安全措施是否足夠安全。安全防御和安全攻擊是一個(gè)動(dòng)態(tài)博弈的過(guò)程，就像抗生素和細(xì)菌一樣，防御和攻擊的技術(shù)都在進(jìn)行不斷升級(jí)。所以我們說(shuō)沒(méi)有絕對(duì)的安全，安全問(wèn)題是成本問(wèn)題。通常我們需要尋找的是如何以最低成本來(lái)滿足我們安全需求的最佳實(shí)踐。

二、如何入門“安全”

孫子云“知彼知己，百戰(zhàn)不殆”，所以讀幾本黑客如何攻擊和防御的書(shū)是一個(gè)不錯(cuò)的選擇。這些書(shū)的內(nèi)容可能會(huì)涉及到一些計(jì)算機(jī)的基礎(chǔ)知識(shí)，所以這些知識(shí)也是不可少的，否則只能做到知其然而不知其所以然。由黑客攻擊和防御的引子，又會(huì)引出計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)、計(jì)算機(jī)體系結(jié)構(gòu)、編譯原理、虛擬機(jī)等等一些基礎(chǔ)的知識(shí)。

黑客如何攻擊和防御是理論基礎(chǔ)，有了理論基礎(chǔ)我們可以看看這個(gè)真實(shí)的世界存在哪些比較流行的安全問(wèn)題;CWE是通用缺陷，里面列舉了很多通用的安全缺陷，我們可以先從最流行的25個(gè)問(wèn)題看起，可以幫助我們?cè)诰幋a的時(shí)候避免許多安全問(wèn)題。如果開(kāi)發(fā)的系統(tǒng)是Web系統(tǒng)，那么OWASP是不容錯(cuò)過(guò)的一個(gè)資料庫(kù);OWASP包含Web常見(jiàn)的問(wèn)題和最佳實(shí)踐，可以了解一下OWASP最流行的10個(gè)問(wèn)題。比如SQL注入，這種常見(jiàn)的高發(fā)的已經(jīng)有了幾十年歷史的問(wèn)題，在這兩個(gè)榜單中都有提及。

接下來(lái)我們可以看看業(yè)界比較好的安全實(shí)踐。SEI CERT Coding Standards是一個(gè)安全編碼標(biāo)準(zhǔn)，分門別類得列出了C、Java等語(yǔ)言常見(jiàn)的安全問(wèn)題，并且對(duì)安全問(wèn)題做出解釋，給我們提供了不安全的代碼樣例和安全的代碼樣例。這個(gè)規(guī)范是一個(gè)很好的切入點(diǎn)，幫助我們快速了解安全問(wèn)題，實(shí)踐安全編碼。

三、對(duì)“安全”問(wèn)題的宏觀分類

安全問(wèn)題五花八門，令人眼花繚亂，那么這些安全問(wèn)題是否有共性呢?答案是有的。我們嘗試將安全問(wèn)題分入以下幾個(gè)宏觀類別之中。

1. 不受信的輸入、輸出

壁立千仞，無(wú)欲則剛;如果一個(gè)系統(tǒng)沒(méi)有與不受信的環(huán)境進(jìn)行的交互，那么這個(gè)系統(tǒng)的安全問(wèn)題是比較小的。大多數(shù)系統(tǒng)，特別是Web系統(tǒng)，需要和不受信的環(huán)境進(jìn)行交互;在交互過(guò)程中，我們需要特別注意的問(wèn)題有兩點(diǎn)：輸入是否合法，輸出數(shù)據(jù)是否包含敏感信息。

輸入數(shù)據(jù)包括并不限于用戶輸入的參數(shù)，傳入的文件，讀取的環(huán)境變量，依賴的運(yùn)行庫(kù)等等。如果用戶輸入的數(shù)據(jù)超出程序處理的范疇，那么可能造成意想不到的結(jié)果。對(duì)于這些不受信的數(shù)據(jù)，我們通?？梢韵拗戚斎敕秶?，只接受我們可以處理的輸入，比如網(wǎng)站注冊(cè)時(shí)對(duì)密碼的符號(hào)有一些限制，就是這種解決方案;我們還可以將輸入的數(shù)據(jù)進(jìn)行清洗，去除不支持的內(nèi)容。

對(duì)于輸出數(shù)據(jù)我們需要關(guān)心輸出的內(nèi)容是否包含敏感信息，比如程序路徑、用戶名、密碼、IP地址等等。如果我們泄漏了服務(wù)器的用戶名和密碼，那么服務(wù)器上的所有信息都有泄漏的風(fēng)險(xiǎn)。這需要我們?cè)诔绦虬l(fā)布之前，仔細(xì)檢查輸出內(nèi)容。

2. 程序本身有錯(cuò)誤

如果程序本身有錯(cuò)誤，那么就會(huì)給攻擊者可乘之機(jī);一旦程序觸發(fā)到錯(cuò)誤邏輯，程序有可能偏離正常的運(yùn)行流程，比如運(yùn)行了攻擊者提供的程序。

對(duì)于C語(yǔ)言來(lái)講，常見(jiàn)的程序錯(cuò)誤有空指針引用、內(nèi)存沒(méi)有釋放、多次釋放內(nèi)存、數(shù)組引用越界、返回棧上地址、整數(shù)溢出等等。這需要代碼編寫者提高代碼編寫質(zhì)量，盡量減少程序錯(cuò)誤。

對(duì)于Java語(yǔ)言來(lái)講，不存在C語(yǔ)言中的內(nèi)存管理類似的問(wèn)題，但一樣存在整數(shù)溢出、數(shù)組引用越界、引用空對(duì)象等問(wèn)題，此外，Java語(yǔ)言還存在錯(cuò)誤調(diào)用運(yùn)行時(shí)庫(kù)函數(shù)、類型定義錯(cuò)誤、序列化和反序列化錯(cuò)誤等等Java語(yǔ)言特有的問(wèn)題。

3. 其它錯(cuò)誤問(wèn)題

我們將其它安全問(wèn)題歸入單獨(dú)分類，這些安全問(wèn)題包括并不限于以下幾點(diǎn)：

• 業(yè)務(wù)設(shè)計(jì)錯(cuò)誤：如沒(méi)有經(jīng)過(guò)認(rèn)證就讀取用戶信息
• 通信協(xié)議不安全：如使用了不安全的加密、散列算法
• 調(diào)用的庫(kù)不安全：如Web Server存在安全漏洞
• ……

四、一些安全實(shí)踐的建議

安全問(wèn)題不是紙上談兵，而是真刀**實(shí)踐出來(lái)的，只有在實(shí)踐中才能出真知，安全性才能得到提升，這里給大家一些小的建議。

第一個(gè)建議是重視安全問(wèn)題，針對(duì)安全問(wèn)題進(jìn)行設(shè)計(jì)和實(shí)現(xiàn)，并且針對(duì)安全問(wèn)題進(jìn)行測(cè)試。西方哲人講“解決問(wèn)題的第一步是承認(rèn)問(wèn)題”，老子講“知不知”，都是此意。

第二個(gè)建議是發(fā)現(xiàn)和利用工具幫助解決安問(wèn)題。業(yè)界已經(jīng)存在許多工具可以在各個(gè)階段幫助我們檢測(cè)安全問(wèn)題。

• 語(yǔ)法檢測(cè)工具，避免一些低級(jí)錯(cuò)誤;
• 靜態(tài)檢測(cè)工具，在開(kāi)發(fā)過(guò)程中，對(duì)程序進(jìn)行靜態(tài)檢測(cè)，可以檢測(cè)程序安全問(wèn)題，可以分析庫(kù)文件是否存在漏洞，這是解決安全問(wèn)題十分有效的手段;老牌的靜態(tài)檢測(cè)工具有OCLint，F(xiàn)ortify，Coverity，Checkmarx等，一些新秀也在冉冉升起，例如鑒釋的XcalScan;
• 動(dòng)態(tài)檢測(cè)工具，將程序運(yùn)行起來(lái)檢測(cè)安全問(wèn)題;比如可以用Valgrind，Panda等工具;
• 自動(dòng)化滲透工具，可以模擬滲透行為，對(duì)系統(tǒng)進(jìn)行滲透以發(fā)現(xiàn)安全問(wèn)題;比如有Zed Attack Proxy，W3AF，Wapiti 等等工具。

安全問(wèn)題不是某一個(gè)單點(diǎn)問(wèn)題，它是系統(tǒng)問(wèn)題，這里沒(méi)有銀彈，沒(méi)有包治百病的特效藥。我們能做的是，在安全問(wèn)題發(fā)生以前，充分了解、模擬、預(yù)警問(wèn)題，并作出有效的防范。我們做的防護(hù)越多，攻擊者的攻擊面就越窄，攻擊成本就越高，我們的系統(tǒng)發(fā)生安全問(wèn)題的概率就越低。千里之行，始于足下;現(xiàn)在就開(kāi)始了解、重視安全問(wèn)題，正當(dāng)其時(shí)。

關(guān)于作者

Sage Lee 是鑒釋軟件研發(fā)工程師，鑒釋成立于2018年，致力于通過(guò)使用高級(jí)靜態(tài)分析技術(shù)幫助客戶降低成本，提高生產(chǎn)力，并確保其軟件開(kāi)發(fā)人員具備相應(yīng)的能力以開(kāi)發(fā)更好、更可靠的軟件。Sage專注于軟件安全領(lǐng)域超過(guò)五年時(shí)間；2014年畢業(yè)于北京航空航天大學(xué)，獲得學(xué)士學(xué)位；在2014-2018年間就職于梆梆安全，負(fù)責(zé)研發(fā)了源代碼混淆、加密算法混淆等多個(gè)創(chuàng)新型安全軟件，取得多項(xiàng)發(fā)明型專利。他在技術(shù)研發(fā)、團(tuán)隊(duì)管理、產(chǎn)品化方面，均有一定的經(jīng)驗(yàn)。