导致安全问题的软件缺陷主要有两种:部署中的漏洞和设计中的缺陷。现在软件安全市场中的大部分重点都放在发现和修复漏洞上,这主要是因为自动代码审查工具让这个过程变得很简单。但其实软件设计和架构中的缺陷问题也占据很大比率,它占所有安全问题的50%。
在这篇文章中,我们将探讨漏洞和缺陷之间的差异。更重要的是,我们将介绍架构风险分析(ARA)程序,经证明,该程序能够很好地发现和修复漏洞。
那么,漏洞和缺陷的区别是什么?也许我们可以从一些例子中得出结论。
漏洞
漏洞存在于软件代码(源代码或二进制)中。一个最经典的漏洞是缓冲区溢出漏洞,这个漏洞根本上涉及滥用C中某些字符串处理函数功能。其中最臭名昭著的函数功能是gets(),这是一个系统调用,它从用户获取输入直到用户决定点击回复。我们把一个固定大小的缓冲区想象成一个空水杯,然后想像一下,你设置了方法来从杯中取水以避免满杯(攻击者则在不断“倒水”)。如果倒太多水到杯子里,水溢出来,就回洒在台面上。在C中的缓冲区溢出的情况下,太多输入会覆盖堆,或者甚至覆盖堆栈,从而破坏程序的堆栈,造成程序崩溃或使程序转而执行其它指令以进行攻击。简单的漏洞,可怕的后果。面对gets()的问题,我们特别容易在源代码中找到漏洞。
C中有数以百计的系统调用,如果使用不当的话,它们可能会导致安全漏洞,包括从字符串处理功能到整数溢出和整数下溢等问题。当然,在Java和其他语言中也有一样多的错误。另外,在Web应用程序(例如跨站脚本或者跨站请求伪造)中也有常见漏洞以及与数据库相关的漏洞(例如SQL注入漏洞)。
面对这么多可能存在的漏洞,我们有必要部署和使用一些工具来查找它们。现在市面上有很多商业源代码审查工具,比如惠普的Fortify、IBM的AppScan Source、Coverity公司的Quality Advisor,以及Klocwork的Clocwork Insight。目前源代码审查的最新突破是直接整合漏洞查找到每个开发人员的集成开发环境(IDE)中,这样我们就能尽可能在最开始发现漏洞。比如,Cigital的SecureAssist就是这种原理。
缺陷
除了漏洞之外,我们还会看到缺陷问题。缺陷存在于软件架构和设计中。这里有一个非常简单的缺陷的例子:忘记验证用户。这种错误通常无法在代码审查中被发现,但这是一个极其严重的问题。你的进程是以root身份运行吗?最好确定谁在使用它!
其它关于缺陷的例子包括“中间攻击人”问题,它使得攻击者能在组件、网络层、机器或者网络之间进行篡改或者窃听;另外,还有与糟糕协议有关的“重放攻击”问题。
为了更好地说明缺陷,我们在这里列出了一些常见的与Java相关的缺陷问题:错误使用密码系统、设计中的分区问题、特权块保护故障(DoPrivilege())、灾难性安全故障(脆弱性)、类别安全混淆错误、不安全的审计、损坏或不合逻辑的访问控制(网络层上的RBAC)、方法覆盖问题(子类问题)、对不该信任的组件给予太多信任(客户端)。(关于这些问题的更多信息,请参阅McGraw的《保护Java》一书)。
缺陷问题与漏洞一样常见。事实上,大多数研究表明,漏洞和缺陷各占50%。当然,本文中我们讨论的是这二者的统一体。还有一些棘手的情况可能被同时归类为漏洞和缺陷,这就取决于你如何看待它。但是,在一般情况下,学习区分漏洞和缺陷对你很有意义。