在网络安全环境的保卫战中,红客与黑客之间的攻防战其实并不对等,虽说两者在攻防中所使用的工具、框架和技术趋于透明和重叠,但思维、视角却存有很大差异。
究其原因,黑客视角下的攻击手段是寻求阻力最小的路径来达成目标:
(1)用最少的访问权限达成目标
(2)最大程度消除痕迹
(3)使用最少的代码安全漏洞
是以,当黑客瞄准高产回报,便会利用各种技术和手段去找寻、攻击代码漏洞。虽说查找和利用漏洞可能要花费大量时间,但不乏有经验丰富的黑客通过一些极具创造力的方法找到入侵系统的漏洞。这便要求各企业安全人员必须了解软件代码中哪些部分最容易吸引黑客,才能制定并有效提升防御策略。
中科天齐董事长兼中科院计算所研究员李炼博士曾在软件安全论坛中针对代码安全检测与防范的演讲中指出以下几点,称以黑客视角找寻漏洞有助于提升和优化代码的安全防御能力。
1、着手于已知漏洞
一般情况下,已知的高危漏洞(CVE)对于黑客来说并不能作为重要的行动目标,因为这些漏洞通常会受到企业安全人员的重点监视,但不得不承认,已知的CVE是发现代码中隐藏类似错误的绝佳入口。在整个软件开发周期中,企业部署的代码会出现重复使用和回收的情况,这便给黑客渗透到系统环境中提供了便利条件,因为在对当前版本的软件漏洞进行修补的同时,也暴露了以往版本代码中存在的相关漏洞。因此,代码安全检测对于黑客来说是查找漏洞并进入系统的捷径,同时也是开发企业有效发现代码漏洞并及早进行修复的重要手段。
2、“不打自招”的代码注释
在黑客眼里,源代码就是一张即将获得宝藏的藏宝图。开发人员在进行代码编写时经常会在遍历后标记出已知错误,但由于开发排期的堆叠,无法及时解决这些问题,而这些问题代码未经修复就直接进入了生产环境,这也让攻击者有机可乘。所以在软件上线之前进行代码安全检测,排除因代码规范/缺陷导致的安全漏洞就显得尤为重要了。
对于企业的防御者而言,一直专注于给黑客入侵增加难度,可熟不知正是这种思维和视角的差异导致了防御者不管如何制定防守策略却依然难以完全规避黑客的侵袭。所以只有做到了解代码存在的潜在影响以及其被入侵的可能性,才能将防御者的注意力有效聚焦并有针对性地采取加固措施,从而提升安全防御能力。
而中科天齐自主研发的悟空(Wukong)软件源代码静态检测分析工具,能够帮助企业在软件开发阶段,对代码编写过程中出现的技术与逻辑漏洞进行查找、识别、追踪有可能因代码规范/缺陷造成的安全漏洞,在早期进行代码漏洞预警与修复,降低软件在运行后产生的漏洞风险,提升抵御网络攻击的安全能力。
悟空(Wukong)软件源代码静态检测工具
其支持C/C++、Java、Python、JS、HTML、PHP等多种主流编程语言所编写的软件产品进行安全漏洞和缺陷的检测,其检测“深度”更深、“速度”更快、“精度”更准、“范围”更广且弥补了SAST类工具无法支持国产操作系统和国产芯片的不足,支持Ubuntu、CentOS主流Linux环境部署;支持中标麒麟、银河麒麟等国产操作系统部署;支持高并发用户的分布式部署的国产化自主可控的静态代码安全检测工具。
关键词标签:黑客攻击 代码安全漏洞 软件测试工具 静态代码检测 软件安全检测
参读链接:https://www.woocoom.com/b021.html?id=9775e280be174170b532c120fb318f84