[转载]透视Microsoft最终安全性检查
2010年2月20日
没有评论
从去年开始,作者作为安全检测员,代表ACE组对GFS(Global Foundation Services)的MSN产品作最终安全检查(Final Security Review,简称FSR)。最终安全检查是以安全开发生命周期(Security Development Lifecycle,简称 SDL)为基础,对软件在出厂前作最终的安全检查。
存档
文章标签 ‘SDL’
2010 CWE/SANS Top 25 Most Dangerous Programming Errors
2010年2月20日
没有评论
最危险的25种编码错误。
The 2010 CWE/SANS Top 25 Most Dangerous Programming Errors is a list of the most widespread and critical programming errors that can lead to serious software vulnerabilities. They are often easy to find, and easy to exploit. They are dangerous because they will frequently allow attackers to completely take over the software, steal data, or prevent the software from working at all.
读取可执行文件编译参数的方法
2009年12月2日
没有评论
有时需要检测SAFESEH是否打开,方法如下。
They can use “link.exe /dump /loadconfig <executable>” to verify the presence of the safe exception handler table in an executable.
dumpbin貌似也可以实现类似功能。
Adobe Acrobat 9 Does The Right Thing On Vista
2009年11月25日
没有评论
When Adobe announced that they would combine Flash and Acrobat, two heavily attacked and common software components, into one package, I was concerned. Combining two big attack surfaces into one bigger one seemed like a dangerous proposition.
BinScope Binary Analyzer
2009年11月20日
没有评论
这个是binscope的帮助文档,非常好,可惜有些图片挪不过来,其实文字已经很精彩了;可以看到这些检查项目有哪些是不需要PDB的,有哪些是需要PDB的。另外这东西支持命令行调用,很方便自动化处理。仔细看下会发现included checks和程序GUI上的有点区别,有可能之间有一定的交叉或包含关系吧。
Enhanced Mitigation Evaluation Toolkit
2009年11月15日
没有评论
实施mitigations前的好东西。Security mitigation technologies are technologies designed to make it more difficult for an attacker to exploit vulnerabilities in a given piece of software. The Enhanced Mitigation Evaluation Toolkit (EMET) is a toolkit that allows certain security mitigation technologies to be applied to user specified applications. It provides four unique capabilities:
Protecting Your Code with Visual C++ Defenses
2009年11月15日
没有评论
A lot of code is written in C and C++ and unfortunately a lot of this code has security vulnerabilities that many developers do not know about. Programs written in any language can have vulnerabilities that leave their users open to attack, but it’s the C and C++ languages that have a special place in Internet history because so many security vulnerabilities are due to the very thing that makes these two programming languages so popular: the unbridled access to computer hardware and the performance that comes with it. When you read about security and C or C++ crops up, the words “buffer” and “overrun” are usually pretty close by because buffers are typically an example of direct access to memory. This kind of direct access is very powerful—and very, very dangerous.
Understanding DEP as a mitigation technology
2009年11月15日
没有评论
打开DEP是缓解安全漏洞的方法之一。不过貌似需要在VS2005+以上的编译器才可以打开。
2010年办公网安全的另一把火
2009年10月31日
2 条评论
在2007-2009年,迅雷、暴风影音、realplay,adobe,ppstream,pplive等漏洞被挂马集团和各类媒体炒的火热;这段时间不管是企业还是开发这些软件的公司,他们都在努力他规避相关风险,导致现在这些东西渐渐的冷下来了。
但是不管咋说办公网安全这档子事一定得后继有人啊,包子在想2010年不知道安全圈是否会多多关注办公网内的其他广泛安装的软件,例如准入控制软件等办公网安全和管理软件,说不定哪一天有某个黑客在某个安全会议上发表议题《enterprise l33t g0t pWnd with the help of security management product》,然后顺便发一下相关的0DAY。
某牛若干年前发现过wineggdrop、灰鸽子等后门木马的漏洞,不知道该牛的小弟今年是否会出手;严重期待烧起这一把火的黑客现身。
Getting the Most for Your Security Investment
2009年10月7日
没有评论
微软的SDL站发布了这么一篇文章,看过之后深有感触。如果时机成熟的话,安全措施还是需要尽早的介入产品流程,这样无论是安全人员还是产品人员、开发人员、测试人员都不那么痛苦。我回想了一下,之前大部分的PK工作都是在和这几票人较劲,不管最后是谁胜利了,大家都是痛苦的。
话说回来,越早实施安全措施效果越好,这没错;但是越早实施安全措施,对安全团队的各方面素质要求越高:无论是团队成员还是leader。作为成员需要掌握更多非安全的知识,例如产品知识、设计知识、业务知识;作为leader必须想清楚在这个过程中如何更好体现团队绩效,而不是仅仅把产品和应用做安全了,在没想清楚这个问题之前,包子建议动口不动手。
包子的体会是:在SDL的几个流程里(需求–>设计–>实现–>测试–>发布–>维护),越往前走,越难控制,越难体现安全团队的业绩;越往后走,效果越显眼,但各方面成本也越大。在不同的时期,需要把重点放在不同的流程以合理的推动SDL前进。
最近评论