软件开发安全

作业太多很烦脑

今天帮一个知乎er定位一个网络诈骗，只知道一个qq号，没有其他任何信息。

• 通过reg007，找到这个qq号只注册过一个网站
  
• 通过在线hash，找到hash对应的密码，然而密码过期无效
  
• 通过telegram，找到了这个qq号在6个群里面，都是色情群
  
• qq没有绑定手机号
  
• qq没有同学、同事群
  

综上判定，这是一个没有绑定手机的小号，隶属于情色欺骗团伙。
这大概是我的第一次从事溯源取证方面的工作，网络反欺诈我也是很有实力的嘛～
顺便说一下，微信头像是黑客的，99.9%都是骗子，别问为什么，问就是外行～
<hr/>一、系统开发控制概述

1、软件开发

• 编程语言：机器语言、汇编语言、编译性语言（C、Java）、解释性语言（Python）
  
• 面向对象编程：继承、多态、低耦合、高内聚
  
• 避免和缓解系统故障：空指针输入验证，非法字符输入验证，日志记录（Owasp推荐：输入验证失败、认证尝试、访问控制失败、篡改尝试、使用无效或过期的会话令牌等），故障防护（windows系统蓝屏实际上是对你电脑的保护），系统在管理员介入之前保持较高的安全级别。
  

2、系统开发生命周期

• 概念定义：简单的概念申明，确定一个大体的需求
  
• 功能需求确定：输出功能需求文档，明确输入、行为、输出
  
• 控制规范的开发：恰当的访问控制、正确的数据加密、合理的行为审计
  
• 设计评审：一旦完成功能需求确定和控制规范开发，就开始详细设计
  
• 代码审查走查：在编码完成后，项目经理组织一次代码review
  
• 用户验收测试：首先是开发人员系统测试，完事后交上去进行验收测试
  
• 维护和变更管理：验收测试后在客户局点中使用，出问题了就是网上问题
  

3、生命周期模型

• 瀑布模型：系统需求、软件需求、初步设计、详细设计、编码调试、测试、运行维护
  
• 螺旋模型：允许瀑布模型处理过程多次反复，也就是螺旋瀑布
  
• 敏捷软件开发：一周一个交付，快速迭代
  
• 软件能力成熟度模型SW-CMM：讲述软件从诞生到成熟的发展经历，初始级、可重复级、定义级、管理级、优化级
  
• IDEAL模型：启动（Initiating）、诊断（Diagnosing）、建立（Establishing）、行动（Acting）、学习（Learning）
  

4、甘特图和PERT

• 甘特图：显示不同时间项目和调度之间关系的条形图，开发代表专门管项目进度
  
• PERT计划评审技术：项目调度工具，用于判断软件产品特性开发的风险偏差
  

5、变更和配置管理
一旦软件发布到生产环境，必然面临用户要求增加新功能、修正bug等，这些变更必须被集中记录下来。
变更管理：

• 请求控制：提供了一个有组织的框架，在这个框架内，用户可以请求变更，管理者可以进行成本/效益分析，开发人员可以优化任务
  
• 变更控制：也是一个框架，在这个框架内，开发人员可以在部署到生产环境之前，创建和测试某个解决方案
  
• 发布控制：验收测试，复核并确保更改过程中作为编程辅助设计插入的任何代码（调试代码、后门）在软件发布前，必须删除，没有新引入和回归不通过
  

配置管理：

• 配置标识：管理员记录整个组织范围内的软件产品的配置
  
• 配置控制：确保对软件版本的更改要与更改控制和配置管理策略一致，问题不是你想改，想改就能改的，要有问题单
  
• 配置状态统计：用于跟踪所有发生的授权更改的正规过程
  
• 配置审核：定期的配置审计，确保没有发生未授权的配置变更
  

6、DevOps方法
在软件开发、质量保证和技术操作之间往往都是不同的人，这种冲突导致在创建代码、测试和部署到生产环境中的延迟，当出现问题时，往往会出现甩锅、踢皮球现象。

• Dev（开发Development）
  
• Ops（操作Operations）
  

DevOps是将上面的三个职能集中到一个操作模型中来解决问题，与敏捷开发紧密配合，旨在大幅度缩短开发、测试和部署软件所需的时间。
7、应用编程接口
为了拥有跨站点的功能，许多组织提供了API接口，允许开发人员绕过传统的网页，直接调用底层服务进行通信。
对于查询类的API接口，可以不加身份验证。但是对于修改类的API接口，必须加身份验证。实际上，大部分的API接口都是需要身份验证的token的。
8、软件测试

• 白盒测试：检查程序的内部逻辑并逐行执行代码
  
• 黑盒测试：提供广泛的输入场景并查看输出，是站在客户的角度测试（我的浙大室友的经历）
  
• 灰盒测试：集合白盒的输入输出，黑盒的功能行为测试
  
• 静态测试：通过分析源代码或编译应用程序来评估软件的安全性，而不要运行软件，cppcheck
  
• 动态测试：在运行时（running）环境中评估软件的安全性，测试内存泄漏，valgrind
  

9、代码仓库
开发人员必须注意不要在公共代码仓库中包含敏感信息，并且代码仓库也需要访问控制，只有有权限的人，才能访问。
二、创建数据库和数据仓库

1、数据库管理系统的体系结构

• 层次式数据库：公司的组织结构图，记住你的领导只有一位
  
• 分布式数据库：将数据存储在多个数据库中，对用户中看见一个数据库
  
• 关系型数据库：由行列组成的平面二维表，每个表看起来就像excel电子表格
  

关系型数据库MySQL：

• 基数：对应表的行数（可以想象一下人口基数14亿，也就是同一类数据总量，记录数）
  
• 度：对应表的列数（可以想象一下温度计的刻度，就那么几列，代表不同的温度，属性）
  

记录使用多种键进行标识，键是表中字段的子集，可用于唯一标识记录。

• 候选键：可用于唯一标识表中记录的属性子集，对于组成一个候选键的所有属性而言，任何两个记录的属性值都不完全相同
  
• 主键：从表候选键中选出的用来唯一标识表中记录的键，每个表只有一个主键
  
• 外键：用于强制在两个表之间建立关系，如果一个表中存在外键，那么这个外键对应于另一个表中的主键
  

2、数据库事务

• 数据库事务可以确保数据的完整性（比如转账要么成功、要么失败，没有转了一半就不转了，也没有转入的账号多了100块钱，转出的账号却没有减少100块钱的现象）
  

数据库事务的特性：

• 原子性：要么成功，要么失败
  
• 一致性：所有时刻账号的钱，大家理解都是一致的
  
• 隔离性：一个事务结束后，才能开始下一个事务
  
• 持久性：一旦提交到数据库，就是既定的事实
  

3、多级数据库的安全性
如果没有做好并发，可能造成的影响：

• 多个进程同时操作一份数据的时候，就会出现混乱，比如自己有100块钱，同时转给2个人
  

4、ODBC开放数据库互连

• 允许程序员与不同类型的数据库通信
  
• ODBC扮演应用程序与实际数据库之间的代理角色
  

5、NoSQL非关系型数据库
三大类NoSQL：

• 键／值存储（key：value）Redis数据库
  
• 图数据库，用节点表示对象，用边缘表示关系（社交网络）阿里巴巴Neo4j
  
• 文档存储，类似键／值存储，只不过存储的是XML、JSON文档
  

三、理解基于知识的系统

1、专家系统

• 知识库：包含专家系统已知规则，知识库试图以一些列的if/then语句对人类专家的知识进行编码，也就是一堆的“如果xxx，那么xxx”，知识库就是包含海量这样的断言
  
• 推理引擎：它对知识库中的信息进行分析，从而得到正确的决策。专家系统用户使用一些用户接口，将当前环境的具体信息提供给推理引擎，推理引擎使用逻辑推理和模糊逻辑技术的组合，基于过去的经验作出结论
  

2、机器学习

• 有监督学习：使用标记数据进行训练。第一步：清洗；第二步：特征化；第三步：模型训练；第四步：效果验证；第五步：模型预测
  
• 无监督学习：使用未经标记的数据进行聚类，步骤与有监督一样。
  

3、神经网络
神经网络是机器学习的延伸，也被称做深度学习。

• RNN 循环神经网络，语音识别
  
• CNN 卷积神经网络，图像识别
  

机器学习、深度学习为代表的人工智能技术在安全圈子里的影响逐年增大，安全企业纷纷开始大量引进 AI 人才。未来几年里安全产品，不在是运维眼中冷冰冰的规则集，必定打上智慧的标签，AI 赋能安全势不可挡。
借助 3 个机器学习应用案例和 2 个深度学习案例讲解，然后趁热打铁，抛砖引玉，简明扼要的概述 AI-SEC-WAF 安全引擎从 0 到 1 的设计思路。包括但不限于模型训练、模型预测、模型持久化、模型加载、模型嵌入到 Nginx 中、C 语言向 Python 传递参数、C 语言接收 Python 返回值等。
想象一下，网络环境中一次喂食了 10 万条报文，AI-SEC-WAF 引擎消化了 9.99 万条正常报文（取其精华），吐出 100 条攻击报文（去其糟粕），是不是美滋滋。

土黑鱼

难得把人肉行为说得如此牛逼。。。

完颜宗翰

是威胁溯源取证

存折

https://mp.weixin.qq.com/s/6xmmi71b8dKvlLUsFkrLuw，前浪给你们后浪提供点思路

游洪波

朋友你真是搞安全的？
  reg什么时候能查qq号了？而且reg本身也是套壳的作假网站。
  在线hash找密码？你密码哪来的？作者是在钓鱼吗？满脸问号？？
  Tg找qq？既然拿钱差，那之前费这些功夫干嘛？

王者百事可乐

哥们顶你，他底下的内容说的也蜻蜓点水，估计也是抄来的

我看到钱了

华三大忽悠

牧猫

开头一段话，后面一大片无关内容，像极了我初中时候QQ群黑客的风格。

灬黒丶兔灬

二次骗

荷土唐玥色

使劲儿编！