الثغرات الأمنية البرمجيات شفرة المصدر تقرير تحليل مفتوحة المصدر

- سلسلة كتلة المواضيعية

مختبر مركز الطوارئ الإنترنت الوطنية في أكتوبر 2016

دليل

1 .. 1 نظرة عامة .......................................................................................................................................

2 اختبار البرمجيات مفتوحة المصدر ........................................................................................................................ 2

المحتوى 3 اختبار ................................................................................................................................. 4

أنواع الضعف 3.1 الأمن ............................................................................................................. 4

مستوى الضعف 3.2 الأمن ............................................................................................................. 6

4 الثغرات الأمنية حالة من مشاريع البرمجيات المفتوحة المصدر .......................................... سلسلة كتلة 7

4.1 نظرة عامة ................................................................................................... الوضع ثغرة أمنية. 7

4.2 عالية المخاطر توزيع الثغرات الأمنية ........................................... .. 9

4.3 نقاط الضعف الأمنية التوزيع العام .......................................................................................... 12

5 معلومات عن هذا التقرير ............................................................................................................ 15 ..

1 نظرة عامة

مع التطور السريع للتكنولوجيا البرمجيات، وقد تم استخدام البرمجيات مفتوحة المصدر على نطاق واسع في جميع أنحاء العالم. تشير البيانات إلى أن منذ عام 2012، أكثر من 80 من البرمجيات التجارية باستخدام البرمجيات مفتوحة المصدر. مرة واحدة رمز وجود مشاكل أمنية البرمجيات مفتوحة المصدر، فإنه سيؤدي حتما إلى من عواقب خطيرة على نطاق واسع. لفهم الوضع الأمني برمجيات المصدر المفتوح، واصل مختبر لالمعروفة يستخدم برمجيات المصدر المفتوح على نطاق واسع تحليل هشاشة مصدر أمني رمز، وتحليل هشاشة الأوضاع الأمنية وتقارير فصلية.

لحظة، لقد أصبحت تكنولوجيا سلسلة كتلة التكنولوجيا التي لا جدال فيها، والتكنولوجيا الجديدة في القطاع المالي سخونة. تكنولوجيا سلسلة كتلة هي الجماعي الحفاظ على قاعدة بيانات موثوقة (كتب) من خلال بطريقة لا مركزية والحلول الثقة. بسبب خصائصه فعالة ومريحة وآمنة، وكانت التكنولوجيا سلسلة كتلة قلقا واسع النطاق في القطاع المالي. في الاجتماع السنوي هذا العام التمويل الدولي في واشنطن، وبنك الاحتياطي الفيدرالي تقييم سلسلة كتلة "قد تمثل سنوات عديدة، والدفع، المقاصة والتسوية في مجال من أكثر تطورا مهما."

ويذكر أن عمالقة المالية الكبرى في العالم لديها لدفع في تكنولوجيا سلسلة كتلة. وكانت الأوراق المالية والسلع التجاريين الرئيسيين بنشاط سلسلة كتلة لإجراء البحوث والاستثمار الاختبار. على سبيل المثال، عرض في الخريف الماضي ناسداك سلسلة كتلة مشروعها ينق. في وقت مبكر من 30 ديسمبر الماضي، أنهى مؤشر ناسداك الأولى أوراقها المالية التداول القائمة على منصة تكنولوجيا قالب السلسلة. البنوك المركزية العالمية، بما في ذلك الصين وأيضا إجراء البحوث المتعلقة بتطبيق التكنولوجيا سلسلة كتلة الطيار مكثفة. في يناير من هذا العام، بما في ذلك جي بي مورغان تشيس وسيتي جروب ودويتشه بورص المجموعة، بما في ذلك عدد من البنوك أعلى الاستثمار في العالم لمشاريع استثمارية مشتركة سلسلة كتلة، تهدف للتخطيط والبناء أكثر فعالة وآمنة سلسلة كتلة متصلة محفظة مالية . وبالإضافة إلى ذلك، باركليز، بدأت مجموعة كريدي سويس، أكبر تسعة بنوك في العالم لتطوير معايير الصناعة والبروتوكولات للتكنولوجيا سلسلة كتلة المستخدمة في الصناعة المصرفية. عام 2017، فإن صناعة الخدمات المصرفية الاستثمارية العالمية في تطوير التكنولوجيا سلسلة كتلة تتجاوز 1000000000 $، مما أدى وتيرة التنمية في جميع القطاعات من المشاريع والبرامج.

في يونيو، وممثلين عن البنوك المركزية والهيئات التنظيمية من 90 دولة، بما فيها الصين، وجمع ممثلين من مقر الاحتياطي الفيدرالي في واشنطن، لمناقشة تطوير وتطبيق التكنولوجيا سلسلة كتلة. مرئي، وقد تم الاعتراف بأهمية سلسلة كتلة من المنظمين الماليين، والاهتمام العالمي في سلسلة كتلة لم يعد يقتصر على داخل المنظمة، بدأ التنقيب التعاوني على نطاق واسع. تكنولوجيا أمن سلسلة كتلة هي القضية الرئيسية التي يجب أن تشعر بالقلق إزاء، مرة واحدة وجود ثغرة برمجية ذات الصلة، فإنه سوف يتسبب في ضرر كبير في الممتلكات.

مختبر هذا الربع ركز سلسلة كتلة في مجال البرمجيات مفتوحة المصدر المعروفة. ملزم الماسح الضوئي الضعف ونتائج التدقيق اليدوي، وتشكيل هذا التحليل الضعف. وجدت التجارب التي الثغرات الأمنية ذات المخاطر العالية والمخاطر الأمنية ما مجموعه 746 في مستوى الرمز. من نتائج، وكتل برمجيات المصدر المفتوح سلسلة هناك مخاطر أمنية خطيرة لا يمكن تجاهلها.

2 اختبار البرمجيات مفتوحة المصدر

وبالنظر إلى عدد من المستخدمين، وقلق من الوضع ومدى تردد التحديث، اختيار مختبر 25 نماذج كتلة برامج سلسلة لديه الطبيعة التمثيلية. يبين الجدول 1 لمحة عامة عن سلسلة كتلة اختبار الحالية من مشاريع البرمجيات مفتوحة المصدر. ويكشف البرنامج يغطي C، C ++، جافا، بيثون، PHP وغيرها من لغات البرمجة. هذه مشاريع البرمجيات المفتوحة المصدر هي الدولية والمحلية المعروفة، لديها مجموعة واسعة من المستخدمين من مشاريع البرمجيات، وكثير منهم من البرامج المعروفة من قبل شركة لتطوير البرمجيات. ونظرا لأن معظم هذه الأصول البرامج ذات الصلة، تداول العملات، وبمجرد أن ثغرات يمكن أن يؤدي إلى خطر جدي من أضرار في الممتلكات.

الجدول 1 اختبار مفتوحة المصدر محة مشروع البرمجيات

1 المقبولة عموما أنه كلما ارتفع نجم المشروع، فإن القلق المشروع المزيد والمزيد من المطورين، وتأثيرها أكبر.

3 محتوى الاختبار

3.1 أنواع من الثغرات الأمنية

يغطي اختبار جميع أنواع الثغرات الأمنية المشتركة. اعتمادا على سبب تشكيل الثغرات الأمنية، وإمكانية استغلاله، مما تسبب في ضرر ودرجة صعوبة في حل هذه العوامل في الاعتبار، ونقاط الضعف الأمنية المشتركة يمكن تقسيمها إلى تسع فئات:

1) تمثل مدخلات التحقق من صحة (الإدخال والتحقق من صحة التمثيل)

التحقق من صحة المدخلات والتي عادة ما تمثل المشكلة عن طريق طابع خاص، ترميز والرقمية الناجمة عن حدوث هذه المشكلة بسبب مدخلا الثقة الذي تسببت فيه. وتشمل هذه: عازلة الفيضانات، البرمجة عبر الموقع، حقن SQL، حقن القيادة وهلم جرا.

2) سوء استخدام API (إساءة استخدام API)

API هو اتفاق بين المتصل والمستدعى، ومعظم الاعتداء API ومن المقرر أن المتصل لم يكن لديك لفهم الغرض من الاتفاق الذي تسببت فيه. عند استخدام API ليست المرة، يمكن أيضا أن يسبب مشاكل السلامة.

3) ميزات الأمان (ميزات الأمان) هذه الفئة تتكون أساسا المصادقة ثغرة، ومراقبة الدخول، والسرية، وإدارة المرور مميزة والجوانب الأخرى.

4) إدارة الذاكرة (إدارة الذاكرة) بشكل جماعي، نقاط الضعف المشتركة المرتبطة مع عمليات الذاكرة بما في ذلك فئة تسرب الذاكرة من الضعف، بعد مجانا، وإطلاق سراح المزدوج شابه ذلك. نقاط الضعف هذه في كثير من الأحيان النتائج في أداء النظام انخفضت، تعطل البرنامج، وC / C ++ لغة نوع شائع من الضعف.

5) الوقت والحالة (الوقت والدولة) توزيع الوقت وحالة الحوسبة. التفاعل وأداء وغالبا ما يحدد المهام في الترتيب الزمني بين المواضيع والعمليات ترأسها سهم للدولة، مثل الإشارات، متغير، وأنظمة الملفات. نقاط الضعف المرتبطة بتوزيع الحوسبة بما في ذلك شروط السباق، ومنع إساءة استخدام مثل.

6) الخطأ والعيوب التعامل مع استثناء (أخطاء) نقاط الضعف هذه مع معالجة الأخطاء واستثناء، ومعظم نوع شائع من الضعف لا يعالج بشكل صحيح أخطاء (أو عدم وجود أخطاء التجهيز) مما أدى إلى إنهاء غير متوقع من تشغيل البرنامج، والآخر هو الثغرات الخاطئة التي أنشئت لتقديم المهاجمين المحتملين الكثير من المعلومات.

7) كود جودة (قانون الجودة)

سوء نوعية رمز يمكن أن يؤدي إلى سلوك غير متوقع. للمهاجمين، رمز الفقراء بحيث يمكن أن تهدد النظام بطرق غير متوقعة. وتشمل هذه الفئة الضعف المشترك كود ميتا، وهو مؤشر لاغية دي المرجعية، وتسرب الموارد وهلم جرا.

8) عيوب التعبئة والتغليف والاختباء (تغليف) التغليف معقول من البيانات من خلال اختباري والتمييز الوسائل التي لم تختبر، التمييز بين بيانات المستخدم مختلفة، يمكن للمستخدم رؤية أو تمييز البيانات وما شابه ذلك لا يمكن رؤيتها. وتشمل نقاط الضعف المشتركة حقول مخفية، وتسرب المعلومات، عبر الموقع طلب التزوير وهلم جرا.

9) عربات التي تجرها الدواب البيئة بتنفيذ التعليمات البرمجية (البيئة) هذا الضعف الطبقة هو مصدر خارج المشكلة، مثل مشكلات تكوين بيئة العمل، وقضايا الإدارة وغيرها من المعلومات الحساسة، وسلامة منتجاتها تبقى حاسمة.

قبل ثماني فئات من نقاط الضعف المرتبطة مع العيوب الأمنية في شفرة المصدر، فإنها يمكن أن تصبح هدفا للهجمات الخبيثة، ومرة واحدة استخدام سيؤدي إلى الكشف عن المعلومات، تجاوز الصلاحيات، تنفيذ الأمر وعواقب وخيمة أخرى. الطبقة الأخيرة من نقاط الضعف وصفها في القضايا الأمنية وراء الرمز الفعلي، فإنها من المرجح أن يؤدي إلى عملية غير طبيعية من البرنامج، وفقدان البيانات وغيرها من المشاكل الخطيرة.

ثغرة أمنية مستوى 3.2

سنقوم تأمين وينقسم هذا العدد من شفرة المصدر إلى ثلاثة مستويات: عالية المخاطر (عالية)، متوسط (وسط) ومنخفضة (منخفض). قياس مستوى اثنين من الأبعاد القياسية، ودرجة من الثقة (ثقة) وشدة (شدة). يشير إلى مدى المشاكل الثقة جدت دقة من الاحتمالات، مثل المكالمات strcpy كل ضعت الضعف عازلة الفيضانات من مصداقية منخفضة. يشير شدة لفرضية تحت اختبار التكنولوجيا حالة أصيلة من الكشف عن المشكلة، مثل تجاوز سعة المخزن المؤقت (تجاوز سعة المخزن المؤقت) وكثيرا ما يستشهد من المؤشر لاغية (خالية مؤشر dereference) مشاكل أمنية أكثر خطورة. هذان العاملان تتضافر لقضايا أمنية مستوى الفرقة بدقة، كما هو موضح في الشكل (1).

الشكل (1) العلاقة مع مستوى خطورة من الضعف، ودرجة الثقة

حالة 4 نقاط الضعف الأمنية من المصدر المفتوح سلسلة كتلة مشروع البرمجيات

وهذا يدل على جزء المشروع عدد من نقاط الضعف الكشف عن من الموضوع، حيث سلامة عناصر الاختبار لتقييم تقريبا. ثم يواصل مناقشة توزيع نقاط الضعف الأمنية في مشروع اختبار، لفهم أكثر سهولة التغاضي تظهر القضايا الأمنية في المشروع.

4.1 نظرة عامة على حالة الثغرات الأمنية

بسبب ارتفاع المخاطر، ومستوى خطر عال من ثغرات أمنية في درجة الضرر، لتعكس بشكل أفضل البرمجيات القضايا الأمنية لا بد من معالجتها على وجه السرعة، وهذا مشروع اختبار يبين القسم في الكشف عن هذين المستويين من الضعف، حيث البنود اختبار أمن لتقييم تقريبا. ويبين الشكل 2 ثغرات أمنية شديدة الخطورة الكشف في حالة اختبار المشروع، وقد تم فرز المشروع من قبل عدد من نقاط الضعف، والرسم البياني خط أحمر يدل أيضا على عدد من نقاط الضعف في الألف خطوط تحتوي على 2.

بعد مرور عدد من نقاط الضعف / 1000 * عدد خطوط رمز ودقيقة إلى درجة عشري: 2 عدد من نقاط الضعف في الألف خطوط الحساب

الشكل 2 مفتوحة المصدر حالة الضعف مخاطر المشروع البرمجيات

ويمكن ملاحظة أن هذا البرنامج سلسلة كتلة المختارة ودرجات متفاوتة القضايا الأمنية. والكشف عن هذه المشاريع في نقاط الضعف المعرضة للخطر وجدت ما مجموعه 746 ومواطن الضعف الخطورة المتوسطة 3497. يمكن بسهولة أن استغل عدد من نقاط الضعف مشاريع المرتبة الأعلى في الدولة من قبل المهاجمين، المستخدم الفعلي في حاجة ماسة إلى إصلاح وترقية عن طريق تثبيت بقع أو الإصدارات المحدثة.

في كل اختبار البرمجيات، والخطر الأمني العام هو خطيرة نسبيا سلسلة كتلة شبكة دفع تموج، ويحتوي على 223 نقاط الضعف مخاطر عالية. ومن الجدير بالذكر أن البرنامج من المرجح أن يكون كتل ذات الصلة سلسلة البرنامج هذا الاختبار أشهرها، فإن معظم المستخدمين، البرنامج الأكثر استخداما على نطاق واسع. وذكر أنه حتى كتابة هذه السطور، فإن البرنامج حيث كانت الشركة بما في ذلك غوغل، أكسنتشر، وما إلى ذلك، بلغ مجموعها استثمار 100 مليون $، في حين أن بعض البنوك الكبيرة أعلنت عن خطط للانضمام الى شبكة الدفع الخاصة بها، بما في ذلك ستاندرد تشارترد، وست، والبنك الوطني أستراليا وشنغهاي البنوك HUARUI. مع الأخذ بعين الاعتبار برنامج التعامل مباشرة مع الأصول المالية، ولديه مثل هذه المستعمل كبير، مرة واحدة هذه الثغرات من قبل قراصنة، سوف يؤدي إلى خسائر لا تحصى.

المرتبة خطرا على الأمن العام الثاني هو مشروع Ethereumj، والتي هي عبارة عن منصة تطبيق الموزع Ethereum سلسلة كتلة من تنفيذ جافا. أظهر الاختبار أن المشروع يشمل 110 نقاط الضعف المعرضة للخطر، لديها مخاطر سلامة عالية.

في كل اختبار البرمجيات، أكثر من عدد من نقاط الضعف القائمة على الخدمات المالية BitShares برامج سلسلة كتلة، أحدث نسخة تحتوي على ما يصل إلى 669 نقاط الضعف المعرضة للخطر، أربعة منها نقاط الضعف عالية المخاطر ومواطن الضعف المخاطر المتوسطة 665، أعلى على الرغم من أن بالفعل من الإصدارات السابقة (BitShares-0.x يحتوي على 25 نقاط الضعف مخاطر عالية، ونقاط الضعف المخاطر في 1236) قد تحسنت بشكل ملحوظ، ولكن لا تزال هناك مخاطر أمنية كبيرة.

من وجهة كثافة توزيع رأي الضعف، منع سلاسل متصفح بيتكوين كتلة مستكشف أعلى كثافة من الضعف. حجمها البرنامج هو صغيرة، فقط 984 خطوط للقانون، ولكن في المتوسط كل 11 سطر من الكود هناك نقطة ضعف شديدة الخطورة. مطلوب الوصف، والبرنامج في سبتمبر 2015 بعد التحديث ووقف على التوالي، والآن يتم استخدامه كمصدر رئيسي للتعلم والمرجعية. لتجنب إدخال المخاطر الأمنية غير الضرورية، اتبع هذا المشروع (جيثب نجوم عدد 141) يجب أن يكون المطورون على بينة من المخاطر الأمنية المحتملة لرمزها.

كل اختبار البرمجيات، والبرمجيات غير موجود هناك نوعان من نقاط الضعف المعرضة للخطر، وEthereum المحفظة وHLP المرشح (على أساس الأصول الرقمية سلسلة كتلة). وبالإضافة إلى ذلك الأصول الرقمية ومنصة تداول العملات جافا أومني OmniJ تحقيق سوى نقاط الضعف المعرضة للخطر، والأمن العام هو أفضل.

4.2 توزيع الثغرات الأمنية ذات المخاطر العالية

وجد الاختبار أن عددا كبيرا من نقاط الضعف مخاطر عالية. 3 يبين الشكل توزيع الحالات في الفئات مشروع اختبار من نقاط الضعف مخاطر عالية. تشير البيانات إلى أن معظم نقاط الضعف بأنها "التحقق من صحة المدخلات وأن" الطبقة الضعف، ضعف الطبقة ويرجع ذلك أساسا إلى إدخال المستخدم من دون التحقق من صحتها تماما بسبب، مرة واحدة مهاجم يبني مدخلات الخبيثة، قد يؤدي تنفيذ الأمر التعسفي، وقراءة ملف التعسفي، الخ مشاكل أمنية خطيرة. بالإضافة إلى التي تحتوي على البرامج النصية عبر المواقع وغيرها من التقليدية "التمثيل الطبقي والتحقق من صحة المدخلات" ثغرة، مما أدى إلى ظهور سبب لهذا النوع من الضعف وأكثر، وهي جزء من لغة برامج سلسلة كتلة جافا (مثل تموج) استخدام إطار JNI، وغيرها لغات (مثل C، C ++) التعامل مباشرة الموارد نظام التشغيل مثل الذاكرة، وتجاوز آليات حماية الذاكرة جافا، مما يجعل البرنامج عرضة للهجمات العازلة تجاوز.

"مدونة جودة" فئة هناك المزيد من الثغرات، والسبب الرئيسي هو أن المطورين عدم وجود الوعي بالسلامة، كتابة التعليمات البرمجية غير القياسية، هذه الثغرات يمكن أن يؤدي إلى تجاوز الذاكرة، واستنزاف الموارد والمخاطر السلامة الأخرى، يمكن أن الحالات الشديدة يسبب النظام إلى المدى حوادث غير طبيعية، وحتى النظام. منذ البرمجيات سلسلة كتلة غالبا ما يعمل مباشرة في مجالات هامة مثل النظم المالية، ومرة واحدة لن يتم التسامح مع تعطل نظام جلب خسائر فادحة.

"الأمن ميزات" فئة احتلت أيضا حصة معينة من نقاط الضعف، نقاط الضعف هذه يغطي أساسا قضايا التوثيق، وإدارة الحقوق، وإدارة المرور، وجوانب أخرى، المهاجم يمكن الاستفادة من هذه الثغرات لتحقيق الوصول غير المصرح به، وسرقة معلومات خاصة. للحصول على البرنامج سلسلة كتلة، وظيفة التشفير للحفاظ على قاعدة البيانات بأكملها مفتوحة (كتب) الوظيفة الأساسية الأمنية، ولكن استنادا إلى نتائج الاختبار، وعدد من البرامج الوجود "رقم عشوائي غير آمنة" في عدد من القضايا، التي من شأنها أن تقلل بشكل خطير برمجيات التشفير هو القدرة على مقاومة الهجوم.

ويبين الشكل (4) وتوزيع المزيد من مجموعة متنوعة من مستوى المخاطر العالية معين من ثغرات أمنية في المشروع الاختبار. في 25 مشروعا اختبار، وأنواع الأكثر شيوعا من نقاط الضعف هي JNI غير آمنة (16.22، و 121 قه) ورقم عشوائي غير آمنة (21.72، 162). الوصف التالي جيزة من هذه الثغرات اثنين، والمشورة الوقاية من العطاء.

توزيع نقاط الضعف المعرضة للخطر في FIG 4 بنود قياس (مقسوما على ضعف محددة)

1) غير آمنة JNI (ينتمون إلى الفئة التي تمثل ضعف التحقق من صحة المدخلات) عند تطبيق جافا باستخدام JNI إلى رمز دعوة مكتوبة في لغات البرمجة الأخرى، إذا ما طبقت بشكل صحيح، يمكن أن يسبب تطبيقات جافا عرضة للاختراقات أمنية في هجمات لغات أخرى. وعلى الرغم من جافا يوفر حماية الذاكرة، ولكن لا ينطبق حماية إلى رمز مصدر مكتوب بلغات أخرى ويمكن الوصول إليها من خلال واجهة الأصلية جافا (JNI).

الوقاية: يجب التحقق بعناية تشغيل اللغة المحلية كود جافا الوارد القيام بها، وجعل التحقق من صحة المدخلات صارمة.

2) رقم عشوائي غير آمن (ثغرة أمنية الدرجة المميزة) في متطلبات بيئة أمنية عالية، وتستخدم لإنتاج قيمة وظيفة التنبؤ كمصدر بيانات عشوائية، سوف يقلل من القدرة على مقاومة هجمات نظام التشفير، مثل الرصاص كلمات سهلة التخمين، مفاتيح التشفير ويمكن التنبؤ بها، خداع DNS والهجمات في جلسات العمل وغيرها من نقاط الضعف الخطيرة.

الوقاية: استخدم شبه عشوائي عدد المولدات التشفير، واستخدام أكبر الكون المعلومات كمولد البذور عدد شبه عشوائي التشفير. إذا كان الكون معلومات غير متوفرة، فإنه يمكن تغيير بذوره في استخدام التشفير مولد عدد المزيف للحد من التهديد.

4.3 الثغرات الأمنية التوزيع العام

فوق للكشف عن حالات الضعف مخاطر عالية في اختبار المشروع إلى الوضع الأمني في المشروع تم تحليلها. وقال عادة أن مقارنة مع نقاط الضعف عالية المخاطر ومواطن الضعف منخفضة المخاطر في بيئة العمل الفعلية للضرر هي صغيرة نسبيا، ولكن لا تزال تعكس نوعية التعليمات البرمجية في المشروع إلى حد ما، والتركيز رموز المطور على القضايا الأمنية وهلم جرا. من أجل فهم أكثر اكتمالا الوضع الأمني في المشروع الاختبار، ويشمل هذا القسم مزيد من العروض توزيع نقاط الضعف منخفضة المخاطر، بما في ذلك الثغرات الأمنية على جميع المستويات بشكل عام.

ويبين الشكل 5 توزيع الفئات ثغرة أمنية مشروع اختبار. ومستوى المخاطر عالية من الضعف مقارنة مع توزيع نسبة مشكلة رمز الجودة زادت بشكل كبير. انظر يمكن العثور على أنواع معينة من نقاط الضعف، ويتضمن المشروع عددا كبيرا من المتغيرات غير مهيأ والمتغيرات أو وظائف غير المستخدمة، رمز الميت، تفتقر للقضايا الحكم لاغيا المؤشر، مما يعكس جودة رمز للحاجة الملحة لتطوير البرمجيات. على الرغم من أن هذه المشكلة لا يؤدي مباشرة إلى ثغرة أمنية خطيرة، ولكن لا تزال هناك مشاكل السلامة كبيرة، إذا ما استخدمت، فإنه قد يؤدي أيضا إلى خطر جدي وقوع حادث وهلم جرا. أكثر أحد الأسباب المحتملة للضعف هو نوعية رمز الفئة، الجزء الكشف عن المشروع لم يصدر رسميا نسخة من منتصف، وبالتالي فإن القانون نفسه لم يصل بعد إلى حالة مستقرة، مما أدى في بعض "قانون الإجراءات" غير كاملة في عدد كبير من الاحتفاظ بها.

وبالإضافة إلى ذلك، هناك عدد كبير من المشاريع قضايا استخدام API غير لائقة مثل سلسلة غير آمنة التعامل مع وظائف، وتجاهل قيم الإرجاع API معينة. بواسطة اتفاقية عدم استخدام API، قد يسبب مشكلة يحدث غير متوقع تشغيل غير طبيعي، مما يؤثر على دقة أو استقرار منطق البرنامج النظام.

وتوزيع نقاط الضعف المعرضة للخطر مقارنة بزيادة قدرها "خطأ ومعالجة الاستثناء" نقاط الضعف الفئة. عرض أنواع محددة من نقاط الضعف ويمكن الاطلاع، وهناك عدد معين من العناصر في "كتلة التعليمات البرمجية فارغة معالجة الاستثناء"، "القبض على أكثر من اللازم استثناء واسع" وغيرها من القضايا التي من شأنها أن تتسبب في البرنامج لا التعامل مع ما هو غير متوقع، مما يجعل النظام عرضة وغير مستقرة بمجرد تشغيل النظام فشل، وهذا سيجعل متسرع تتبع معالجة الاستثناء واستكشاف المشاكل التي تواجهها صعوبات. في الواقع، أي هجمات على أنظمة تتعارض مع "غير طبيعية" للمطورين الوضع الافتراضات، وخاصة بالنسبة للمتطلبات الاستقرار وتوافر عالية من الصناعات مثل النظم المالية، والخطأ الخير ومعالجة الاستثناء هو مزيد من الحماية أمن النظام والظروف اللازمة لتحقيق الاستقرار.

ويبين الشكل 6 توزيع مزيد من مجموعة متنوعة من مشروع معين اختبار الثغرات الأمنية. وبالمناسبة، يبدو أن هذا الاختبار النتائج في 87 أنواع لا يزيد عن 10 في الضعف منخفضة المخاطر يظهر فقط باسم "الزهر غير مناسب"، "معلومات التصحيح إرث" ورمز الجودة، ونقاط الضعف استخدام API ذات الصلة، كما تسهيل البيانات المقدمة يتم تجميعها معا إلى أنواع "أخرى" من نقاط الضعف في الشكل. 25 البنود اختبار، وحدوث المتغيرات المحلية اثنين معظم نقاط الضعف غير المستخدمة (13.94، 1181)، غير آمنة ظائف معالجة سلسلة (13.20، و 1118). الوصف التالي جيزة من هذه الثغرات اثنين، والمشورة الوقاية من العطاء.

كل توزيع الثغرات الأمنية في الشكل مشروع اختبار 5 (مقسمة حسب الفئة)

توزيع جميع الثغرات الأمنية عناصر الاختبار 6 في الشكل (وفقا لتقسيم الثغرات الأمنية محددة)

1) متغير محلي (ينتمي إلى الثغرات جودة رمز الفئة) غير مستخدمة بعد أن أعلن عدم استخدام متغير محلي في رمز، هذه المشكلة لا يسبب ضررا مباشرا، ولكن عادة ما يعني أن عملية كتابة كود قد تكون هناك أخطاء منطقية، مثل نظرا لنسخة لصق الأخطاء باستخدام المتغير خاطئ أو ذات الصلة عبارة تعيين متغير وعلق بها وإساءة استخدام الآخرين.

الوقاية: يجب على مطوري تحقق من اكتمال وصحة منطق التعليمات البرمجية، تعريفات المتغير زائدة الحذف. 2) التعامل مع وظائف (ينتمي إلى فئة من سوء استخدام نقاط الضعف API) وهناك بعض الوظائف التلاعب سلسلة القياسية ليست تفتيش صارمة الحدود، هناك خطر جدي من تجاوز سعة المخزن المؤقت، مثل C يحصل لغة سلسلة غير آمنة، strcpy، strcat، sprintf ، scanf، الخ ..

الوقاية: يجب أن تحاول تجنب استخدام هذه الوظائف، واستخدام وظائف بديلة أكثر أمانا، مثل fgets مع بديل يحصل، في حين تقوم الشيكات الحدود الصارمة.

5 عن هذا التقرير

أولا، تقريرا فقط تحليل رمز زاوية الضعف. الإحصائيات في هذا التقرير يشير إلى ضعف مخاطر أمنية ومن المقرر عرضة للمخالفات التي تسببها كتابة التعليمات البرمجية ليتم استخدامها من قبل مهاجم. في نظام حقيقي، وذلك بسبب الانتشار الفعلي للبيئة البرمجيات، ومعدات السلامة، ولم يتسن التحقق من بعض الضعف من خلال اختبار الاختراق.

ثانيا، ينطبق هذا التقرير فقط على نقاط الضعف المحددة في إصدار البرنامج المدرجة في الجدول 1. عندما إصدار البرنامج هناك أي تحديثات أو تعديلات والتحسين، وهذا التقرير لم يعد ينطبق.

ثالثا، كان الجزء الدعم من البيانات المبلغ عنها 360 رموز الحراس في هذا الشكر.

عندما نشر بيتكوين سعر قياسي سعر الشراء: سعر 6933.00 بيع: 6931،00

الأصل: HTTP: //if.cert.org.cn/jsp/activitiesDetail.jsp معرف = 19؟

الكاتب: الوطنية الإنترنت استجابة لحالات الطوارئ مركز مختبر تنويه: احتياطيات مؤلف الحق في. مقالات لمؤلفين مستقلة لا تعبر بالضرورة عن موقف بابيت.