软件应用程序安全开发指南(SDLC)(19)
2023-06-18 来源:飞速影视
和"/dir/incls",如果它们存在的话。如果要将访问限制在仅为指定的目录,用斜线结束路径名。例如:"open_basedir=/dir/incl/"。
可以设置多个目录,在Windows中,用分号分隔目录。在任何其它系统
中用冒号分隔目录。作为Apache模块时,父目录中的open_basedir路径自动被继承。
3.5.12.其他安全配置
1、 取消其它用户对常用、重要系统命令的读写执行权限
一般管理员维护只需一个普通用户和管理用户,除了这两个用户,给其它用户能够执行和访问的东西应该越少越好,所以取消其它用户对常用、
重要系统命令的读写执行权限能在程序或者服务出现漏洞的时候给攻击
者带来很大的迷惑。记住一定要连读的权限也去掉,否则在linux下可以用/lib/ld-linux.so.2/bin/ls这种方式来执行。
如果要取消程序如果是在chroot环境里,这个工作比较容易实现,否则,
这项工作还是有些挑战的。因为取消一些程序的执行权限会导致一些服
务运行不正常。PHP的mail函数需要/bin/sh去调用sendmail发信,所以
/bin/bash的执行权限不能去掉。
2、 去掉apache日志其它用户的读权限:
apache的access-log给一些出现本地包含漏洞的程序提供了方便之门。通过提交包含PHP代码的URL,可以使access-log包含PHP代码,那么把包含文件指向access-log就可以执行那些PHP代码,从而获得本地访问
权限;
如果有其它虚拟主机,也应该相应去掉该日志文件其它用户的读权限;
当然,如果你按照前面介绍的配置PHP那么一般已经是无法读取日志文件了。
3、 保持运行环境干净。
4、 不能在Web目录放测试文件。
3.6.C/C 安全开发要求
C本质上是不安全的编程语言。例如如果不谨慎使用的话,其大多数标准的字符串库函数有可能被用来进行缓冲区攻击或者格式字符串攻击。但是,由于其
灵活性、快速和相对容易掌握,它是一个广泛使用的编程语言。下面是针对开发
安全的C语言程序的一些规范。
3.6.1.缓冲区溢出
避免使用不执行边界检查的字符串函数,因为它们可能被用来进行缓冲
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)
www.fs94.org-飞速影视 粤ICP备74369512号