T Cnica De C Digo Seguro
Páginas: 16 (3792 palabras)
Publicado: 15 de abril de 2015
UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO
FACULTAD DE INGENIERÍA
Desarrollo de Software Seguro
Manual. Técnicas de Código Seguro
Alumno: Santiago Avila Cristian
No. De Lista: 13
Profesor: Carrera Fournier Margarita
Índice Página
I. Técnicas de código seguro 3
II. Buffer Overflows 4
III. Heap Overflows 6
IV. Formato de cadena 8
V. Exploits8
VI. Race conditions 10
VII. SQL injection 12
VIII. Cross Site & Cross-Domain Scripting 13
IX. Fault Injection 13
X. Falla en la protección de tráfico de red 14
XI. Uso del URL mágicos y campos en formularios 14
XII. Uso apropiado de SSL y TSL 15
XIII. Fallas al almacenar y proteger datos conseguridad 15
XIV. Acceso inapropiado a archivos 16
XV. Resolución confiable de nombre de red 16
Referencias 17
I. Técnicas de código seguro
1. Instrucciones para realizar revisiones de diseño y de código: Proporciona varias técnicas para realizar la revisión del diseño y del código a fin de descubrir errores y supuestos incorrectossolicitando a sus homólogos que revisen el código.
2. Instrucciones para escribir código seguro: Describe técnicas y estrategias para escribir código seguro.
3. Instrucciones para la protección de código de calidad: Muestra instrucciones para comprobar el código de maneras diferentes a fin de garantizar que incorpora lo que estaba previsto en el diseño de calidad.
4. Instrucciones de depuración:Proporciona varias instrucciones para encontrar defectos de código.
5. Instrucciones de uso de las herramientas de análisis de código: Proporciona varias instrucciones para utilizar las herramientas de análisis de código.
6. Detectar y corregir defectos de código de C/C++: Describe cómo detectar y corregir defectos de código utilizando la herramienta de análisis de código para C/C++.
7. Detectar ycorregir defectos de código administrado: Describe cómo detectar y corregir defectos de código utilizando la herramienta de análisis de código para código administrado.
8. Directivas de protección de los análisis de código: Describe cómo crear directivas de protección personalizadas asociadas con las protecciones de control del código fuente.
II. Buffer Overflows
DescripciónLos atacantes suelen utilizar desbordamientos de búfer para corromper la pila de ejecución de una aplicación web. Mediante el envío de entrada concebidos para una aplicación web, un atacante puede provocar que la aplicación web para ejecutar código arbitrario, posiblemente hacerse cargo de la máquina. Los atacantes han logrado identificar desbordamientos de búfer en una asombrosa variedad deproductos y componentes.
Fallas de desbordamiento de búfer pueden estar presentes tanto en el servidor web y servidor de aplicaciones de productos que sirven a las partes estáticas y dinámicas de un sitio, o en la propia aplicación web. Desbordamiento de búfer encuentra en los productos de servidor de uso común pueden llegar a ser ampliamente conocidos y pueden suponer un riesgo importante para losusuarios de estos productos.
Ataques de desbordamiento de búfer en general se basan en dos técnicas (y por lo general la combinación):
La escritura de datos a las direcciones de memoria particulares
Tener el sistema operativo maneja mal tipos de datos
Esto significa que las lenguas de tipo fuerte de programación (y entornos) que no permiten el acceso directo a la memoria por lo general evitandesbordamientos de búfer suceda.
Idioma / Medio ambiente
Compilado o interpretado
Inflexible de tipos
Acceso directo a memoria
Seguro o inseguro
Java, Java Virtual Machine (JVM)
A La Vez
Sí
No
Caja Fuerte
.NET
A La Vez
Sí
No
Caja Fuerte
Perl
A La Vez
Sí
No
Caja Fuerte
Python - interpretado
Intepreted
Sí
No
Caja Fuerte
Rubí
Interpretada
Sí
No
Caja Fuerte
C / C ++
Compilado
No
Sí
Inseguro
Montaje...
UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO
FACULTAD DE INGENIERÍA
Desarrollo de Software Seguro
Manual. Técnicas de Código Seguro
Alumno: Santiago Avila Cristian
No. De Lista: 13
Profesor: Carrera Fournier Margarita
Índice Página
I. Técnicas de código seguro 3
II. Buffer Overflows 4
III. Heap Overflows 6
IV. Formato de cadena 8
V. Exploits8
VI. Race conditions 10
VII. SQL injection 12
VIII. Cross Site & Cross-Domain Scripting 13
IX. Fault Injection 13
X. Falla en la protección de tráfico de red 14
XI. Uso del URL mágicos y campos en formularios 14
XII. Uso apropiado de SSL y TSL 15
XIII. Fallas al almacenar y proteger datos conseguridad 15
XIV. Acceso inapropiado a archivos 16
XV. Resolución confiable de nombre de red 16
Referencias 17
I. Técnicas de código seguro
1. Instrucciones para realizar revisiones de diseño y de código: Proporciona varias técnicas para realizar la revisión del diseño y del código a fin de descubrir errores y supuestos incorrectossolicitando a sus homólogos que revisen el código.
2. Instrucciones para escribir código seguro: Describe técnicas y estrategias para escribir código seguro.
3. Instrucciones para la protección de código de calidad: Muestra instrucciones para comprobar el código de maneras diferentes a fin de garantizar que incorpora lo que estaba previsto en el diseño de calidad.
4. Instrucciones de depuración:Proporciona varias instrucciones para encontrar defectos de código.
5. Instrucciones de uso de las herramientas de análisis de código: Proporciona varias instrucciones para utilizar las herramientas de análisis de código.
6. Detectar y corregir defectos de código de C/C++: Describe cómo detectar y corregir defectos de código utilizando la herramienta de análisis de código para C/C++.
7. Detectar ycorregir defectos de código administrado: Describe cómo detectar y corregir defectos de código utilizando la herramienta de análisis de código para código administrado.
8. Directivas de protección de los análisis de código: Describe cómo crear directivas de protección personalizadas asociadas con las protecciones de control del código fuente.
II. Buffer Overflows
DescripciónLos atacantes suelen utilizar desbordamientos de búfer para corromper la pila de ejecución de una aplicación web. Mediante el envío de entrada concebidos para una aplicación web, un atacante puede provocar que la aplicación web para ejecutar código arbitrario, posiblemente hacerse cargo de la máquina. Los atacantes han logrado identificar desbordamientos de búfer en una asombrosa variedad deproductos y componentes.
Fallas de desbordamiento de búfer pueden estar presentes tanto en el servidor web y servidor de aplicaciones de productos que sirven a las partes estáticas y dinámicas de un sitio, o en la propia aplicación web. Desbordamiento de búfer encuentra en los productos de servidor de uso común pueden llegar a ser ampliamente conocidos y pueden suponer un riesgo importante para losusuarios de estos productos.
Ataques de desbordamiento de búfer en general se basan en dos técnicas (y por lo general la combinación):
La escritura de datos a las direcciones de memoria particulares
Tener el sistema operativo maneja mal tipos de datos
Esto significa que las lenguas de tipo fuerte de programación (y entornos) que no permiten el acceso directo a la memoria por lo general evitandesbordamientos de búfer suceda.
Idioma / Medio ambiente
Compilado o interpretado
Inflexible de tipos
Acceso directo a memoria
Seguro o inseguro
Java, Java Virtual Machine (JVM)
A La Vez
Sí
No
Caja Fuerte
.NET
A La Vez
Sí
No
Caja Fuerte
Perl
A La Vez
Sí
No
Caja Fuerte
Python - interpretado
Intepreted
Sí
No
Caja Fuerte
Rubí
Interpretada
Sí
No
Caja Fuerte
C / C ++
Compilado
No
Sí
Inseguro
Montaje...
Leer documento completo
Regístrate para leer el documento completo.