安全开发是如何执行的

谈到安全开发,咱们就要先明确一个问题,安全开发的目的是什么呢?

所有做过开发的小伙伴,一定会有一个概念,一个程序的逻辑Bug,一定越早发现,损失越小。
如果能在需求阶段,发现并解决这个Bug,损失可以是最小的。

安全开发也是这样,希望达到的目的就是:
安全风险左移,早发现,早管理,持续改进

在安全开发上面,其实有一些现成的框架可以遵循,比如SSDLC(适合迭代式开发)、DevSecOps(适合DevOps式开发)等。

本文就说一下,我们的SSDLC是如何执行的。

当前,在能执行之前,需要进行相关的建设,包括:
明确安全风险,明确安全基线,指定安全策略,进行安全教育,部署安全工具,进行相关培训等等。
这个每个公司差异比较大,选择的组件和厂商也大不相同,就不详细描述了。
我们重点说一下,一个安全相关的需求,是如何落地的。

1、安全需求
1.1安全需求识别
组织应该达成一个共识,哪些需求比如过安全评审,比如:
a、任何账号、密码相关的
注册、登录、密码验证、验证码、密码修改、账号注销等等
b、任何用户可以发布信息的
留言、灌水、内容发布、即时通讯、提交信息并展示
c、任何上传和下载的
d、任何交易相关的
大促、活动、秒杀、刷单、刷票、业务风险响应
e、任何钱相关的
积分、交易、资金往来、营销、相关接口
f、涉及SQL编写的
g、任何敏感信息存储或展示的
购买、支付、个人信息查询、添加删除信息、充值密码
移动端图片保存、人脸识别、手势密码
h、任何证书相关的
i、任何访问控制相关的
前后端访问控制、系统对接、日志、短信、邮件
j、任何批量操作相关的
查询、导入、导出
k、合规安全相关
隐私政策、个人信息采集、敏感信息传输、生物特征识别、账号注销
等等。
1.2安全需求强制纳入安全评审,安全管理人员可以指定其他需求进入安全评审、
1.3安全小组对需求进行评审,判定是否可以继续推进

2、安全设计
2.1设计人员给出方案
2.2安全小组评审设计方案,判定是否可以继续推进
2.3测试同学,同步书安全测试用例
2.4安全小组评审设测试用例,判定是否可以继续推进

3、安全开发
3.1、开发同学IDE安装好安全组件,组件可规范编码,并进行静态扫描,及时发现代码问题
3.2、开发同学自测后,提交代码库
3.3、开发同学在测试环境,运行流水线
3.4、流水线自动混淆、编译、加固、打包、部署,同步进行各类扫描,包括:黑盒、白盒、组件、镜像、隐私检测等
3.5、流水线给出相关漏洞
3.6、开发同学修复漏洞

4、安全测试
4.1、测试同学进行功能验证
4.2、测试同学进行安全验证:渗透、越权等
4.3、测试同学进行性能验证
4.4、验证通过后,提交相关报告

5、安全验证
5.1、此时可以进行UAT验证
5.2、在版本库相同的情况下,开发同学将代码发布到UAT环境
5.3、流水线门禁根据规则判定,是否可以发布
5.4、测试同学初步验证
5.5、用户验证

6、安全部署
6.1、此时可以把代码部署到生产环境

当然,上面的开发流程,只是整个安全开发体系中的一环。
实施安全开发流程,需要庞大的前期资源投入,以及渡过一个较长的不断改进的过程。

什么是SSDLC

SSDLC(Secure Software Development Life Cycle,安全软件开发生命周期)是一个软件开发框架,它将安全考虑和实践集成到传统的软件开发生命周期(SDLC)的每个阶段。SSDLC的目标是减少软件中的安全漏洞,提高软件产品的安全性,确保从设计到部署的每个步骤都考虑到安全因素。

SSDLC 的主要阶段通常包括:
1、 初始化:确定安全策略和目标,定义项目范围和安全要求。
2、 架构设计:设计软件的安全性,包括威胁建模和风险评估。
3、 详细设计:开发软件的详细设计,包括安全控制和机制。
4、 实现/编码:编写安全的代码,并遵循安全编码标准和最佳实践。
5、 测试:进行安全测试,包括静态代码分析、动态代码分析和渗透测试。
6、 部署:安全地部署软件到生产环境,并确保部署过程本身的安全性。
7、 维护:在软件的整个生命周期内进行持续的安全监控、漏洞管理和补丁应用。

如何实施 SSDLC:

1、 建立安全策略:
定义组织的安全政策和程序,确保它们与SSDLC流程一致。

2、 安全培训:
对开发团队进行安全意识和安全技能的培训。

3、 威胁建模:
在设计阶段使用威胁建模来识别潜在的安全威胁和漏洞。

4、 安全需求分析:
确定软件的安全需求,并将其纳入项目的需求规格中。

5、 安全架构和设计:
设计软件架构以包含安全控制,如身份验证、授权、数据加密等。

6、 安全编码:
遵循安全编码标准和最佳实践,减少安全漏洞。

7、 代码审查和静态分析:
通过代码审查和自动化工具检测代码中的安全问题。

8、 动态分析和测试:
进行动态安全测试,如渗透测试,以发现运行时的安全问题。

9、 安全部署:
确保部署过程安全,包括使用安全的配置和补丁管理。

10、 监控和响应:
实施监控机制来检测和响应安全事件。

11、 持续改进:
根据反馈和安全测试结果,不断改进SSDLC流程。

12、 合规性检查:
确保软件的开发和部署符合相关的法律法规和行业标准。

13、 文档和审计:
记录安全活动和决策,以便于审计和未来的回顾。

实施SSDLC需要组织层面的承诺和支持,以及跨部门的协作。通过在软件开发的每个阶段都集成安全措施,可以有效地减少软件中的安全漏洞,提高整体的安全性。

Java程序如何加密

今天在想Java程序加密的事情,现在市面上的方法,无非是混淆代码,jar包签名等,瞬间就能被破解掉。

我想到了一个很挫的方法,和PE文件加壳脱壳一样,class文件/jar文件为什么不可以呢?

但这样做的话,是有限制的,就是客户必须使用你自己定制的JVM及容器,否则是无法运行的。

具体方法如下:
1、生成class文件后,按一定规则进行加密处理。偷懒的话,直接对称加密好了。
2、生成jar包的时候,同样按一定规则进行加密处理。偷懒的话,zip的时候,增加一个强壮的密码就好了。
3、下载并编译OpenJDK,在读取jar包内容,和class文件的地方,要进行脱壳处理。按上面的思路,就是解压缩和解密处理。
4、当然,定制部分的dll和exe,需要进行PE加壳处理

当然,上面这种方式的话,和加壳脱壳还是有很大的区别的,就是不能自行解压,并要依赖于JVM甚至容器的定制。

如果要真正实现自解压处理的话,就要多做几步:

具体方法如下:
1、编译生成class文件,按一定规则进行加密处理。偷懒的话,直接对称加密好了。
2、生成jar包的时候,同样按一定规则进行加密处理。偷懒的话,zip的时候,增加一个强壮的密码就好了。
3、将需要的所有jar包,按你喜欢的方法,生成一个jar包列表,并打成一个巨大的资源文件。
4、写一个java引导文件,用于处理运行参数,比如入口程序等。
5、写一个自定义classloader+jni+dll,用于读取巨大的资源文件中的jar包及class文件
6、用普通的jvm启动程序,初始化时用引导文件+自定义classloader
7、引导文件+自定义classloader将需要的文件直接解压到内存中,提供给jvm使用
8、dll部分要进行PE加壳处理

汉化.net程序

1.首先是反编译

ildasm11.exe /ALL /VISIBILITY=PUB+PRI+FAM+ASM+FAA+FOA+PSC /UNICODE Target.dll /OUT=Target.il

2.打开Target.il
搜索ldstr,后面就是你所需要汉化的字符串

同时会遇到bytearray类型的字符串,这些字符串是以UNICODE的HEX方式存储的,将汉化后内容,同样转成UNICODE的HEX字符串存回去,同时记住要修改字体

3.去掉StrongName
将Target.il中publickkey字段删除

4.生成snk

sn.exe -k Target.snk

5.重新编译并增加StrongName

ILASM11.exe Target.il /dll /key:Target.snk /resource:Target.res /out:Target_cn.dll

6.验证

sn -v Target_cn.dll

第一次汉化游戏

上大学时,有款游戏叫“是男人就下100层”
无聊的时候玩玩还不错

但是看到上面的日文,我就不爽,干脆,汉化掉算了
查看后,没加壳,哈哈哈哈哈哈哈哈
掏出eXeScope,找出资源,我改。。。
很快菜单等资源都改好了

运行试试,感觉不错,但旁边怎么还有这么大的日文?
继续找,发现,居然是图片
算你狠,掏出PS,改了几张,换上去
啊~~~
好难看,字体好难看啊
我这个没审美观的人都觉得好难看啊

算了,这个汉化版就算了吧,还是不拿出去丢人了。

过了几个月,
一哥们跟我说,来,我有中文版,
我很想看看PS高人怎么换掉图片的,
结果,
结果,他只换了菜单,
还没我汉化的多。。。
心情大好,原来我不是最差的那个啦

其实,换掉菜单后,的确就容易入手一些了,
后来看到过比较好的版本,但加壳了,
也没空细细研究,高手还是普遍存在的

修改程序时间验证

上大学的时候,用过一款仿真软件,但授权已经过期了,
使用的时候必须将时间调回到两年前,
可是杀毒软件就不开心啦,彻底罢工,
唉,谁让当时USB病毒横行呢,

为了不用再调试间,加上当时对反向工程十分的痴迷,于是开始尝试破解该软件
当时什么都不太懂,想法也很单纯,把时间锁定到两年前
用传说中的神器OllyDBG,找到所有调用时间API的地方,
比想像的乐观的多,只有两个地方调用了时间API,
而且,API调用的后面有足够的空间让我用汇编将年份改掉
很快就搞定了
当时很没追求,还足足开心了半个月
过了半年后,发现,不用修改他的程序就能改掉
又过了半年后,发现,专门有软件修改程序时间,哈哈,坐井观天啦

现在想起来,当时软件保护做的真差,连壳都没加,唉~~