则中的漏洞类别超过种，并且的安全,跨站脚本攻击描述在允许代码注入的应用程序中常常可以发现脆弱性。利用这种弱点的脚本可能来自服务器，但它们并不在那里执行相反，它们在客户端工作站上执行。有两种基本的脆弱性反射式和存储式的脆弱性。反射式脆弱性是最常见的形式。当用户可以向个文本框中输入语法内容，然后在用户的显示器上显示出来时，往往存在这种脆弱性。当名攻击者用这种脆弱性定位个页面时，他只需简单地在框中输入脚本。当页面再次显示输入的文本时，脚本就开始执行。许多时候，必须使用社会工程使用户访问个专门制作的来发动攻击。这样做可能导致在页面中插入攻击者的脚本，跨站脚本蠕虫和病毒，年月。存储脆弱性就像它的名称指出的那样。攻击者向其他用户经常访问的网站，或网站的个区域提交利用弱点的代码。这类例子包括社交网络网站和读者对所发表内容的评论。当受害者的浏览器打开被感染的网页时，脚本不需要用户干预即可自动执行。这是因为存储的恶意脚本被浏览器看作是来自个可信网站服务器的脚本。下面是个非常简单的存储脚本攻击实例。最初，脚本可能被插入到个表单框中，并最终进入大量用户使用的论坛或其它服务中。例如，在个在线论坛中发贴时，攻击者可能会输入以下脚本当个没有疑心的用户打开论坛中的贴子时，这段脚本就会在用户的工作站上运行。其显示结果是段无害的文本，但如果脚本中包括以下代码，情况就会有所不同显示许可出错信息提示用户输入密码将密码通过电子邮件发送到攻击者的服务器旦攻击者成功利用个脆弱性，他可以执行大量的恶意行为，包括强制发送电子邮件消息转账删除或修改数据使用受害者的工作站攻击其它网站下载非法内容本质上说，成功完成攻击的攻击者能够执行页面脚本所能执行的任何功能。控制措施和许多应用程序脆弱性样，确认输入是防御利用的最佳方法。例如，保证不允许在任何页面框中输入尖括号。这似乎是个非常简单的方法，但很明显它也是防御攻击的最佳方法之。和在其文章中写道„我们遇到的几乎每种脆弱性都是由于没有在输入中删除尖括号或没有在输出中对这些尖括号进行编码引起的黑客大曝光，第页。不只是尖括号，还必须禁止语法输入。语法输入可能来自数据库其它服务器等。必须对应用程序的所有输入进行过滤，保证向你的用户传送干净的内容。组织还可以采用其它步骤来预防由脆弱性引起的问题，它们包括对用户进行培训，告诉他们小心使用电子邮件消息或即时消息中的链接。实施互联网访问控制解决方案，限制访问高风险网站即色情和盗版媒体网站并防止访问已知的恶意网站。保证每个工作站有安装有个人防火墙和最新的防病毒软件。对防火墙进行配置，限制外部连接。对所有敏感功能加以保护，避免其自动执行和由第三方网站执行。执行手工或自动化代码扫描，确定并消除潜在的机会。注入缺陷描述通常来讲，注入缺陷允许攻击者通过操纵输入来改变应用程序的行为。这种行为上的改变可以避开访问控制，使得攻击者创建修改删除或阅读应用程序能够访问的任何数据。根据，最严重的情况可能是目标应用程序完全被攻破。注入缺陷是由开发者所做的假设造成的，即被个应用程序处理的输入字符串不包含语法内容。这个假设导致有效输入确认的缺失。共有三种主要的注入攻击系统调用命令注入本文其它内容将详细讨论注入攻击。请查阅注入缺陷了解注入脆弱性的般性讨论。注入攻击在这种形式的注入脆弱性中，用户输入不被过滤。因此攻击者能够在输入中插入个语句或另外个参数，然后在数据库中运行。在他年的论文向开发者介绍注入攻击中描述了四种基本的注入攻击。操纵攻击者使用各种操作如修改语句。她还可以修改个子句的语法来获得其它信息。代码注入在代码注入攻击中，攻击者在现有术脆弱性管理等要求均可以利用代码审查进行控制目标的验证。支付卡行业数据库安全标准中在发布生产以前检查自定义代码，以识别所有潜在的编码漏洞，及对于面向公众的应用程序，经常解决新的威胁和漏洞，并确保保护这些应用程序不受到以下任方法的攻击，此项要求中明确提出了由于开发团队的内部组织或第三方专业机构进行代码安全审查。对于银行业及金融业来说，此项业务需求将比较大。网上银行系统信息安全通用规范网上银行系统信息安全通用规范试行中明确要求由外包方开发的客户端程序要进行代码安全测试并须通过第三方中立测试机构的安全检测，中应用安全对编码规范约束防止注入攻击防止跨站脚本攻击等对软件安全及代码安全做出了明确要求，而且指定了要求第三方机构出具相应的测评报告。电子银行业务管理办法及电子银行安全评估指引电子银行业务管理办法对电子银行系统的安全性进行了规范，指出在申请电子银行业务时需要提交电子银行安全性评估报告。目前电子银行安全评估指引是电子银行安全性评估的准则，其第三十条明确规定电子银行系统的安全性评估须包括应用系统安全性评估内容，但未对应用系统安全性评估方法进行明确规范，鉴于已出台的网上银行系统信息安全通用规范试行，可以在其测试过程中，增加代码审查相关测评方法。通过以上政策及标准的调研发现，软件安全在等级保护上市公司及金融银行业均有明确的要求，但鉴于不同组织机构对信息安全的接受程度财务状况及相关业务审计要求来看，在金融银行业及上市公司推广该业务才是唯的出路，但市场总体来说未必很大。中国银行的软件安全现状中国银行是目前中国优秀的银行之，公司目前的应用软件开发主要采取软件外包和自主研发相结合的模式，对于中国银行来讲，应用软件自身的安全问题，也是个几乎全新的领域，但是他们已经意识到这是他们下阶段为确保信息安全必须要做的个非常重要的事情，在我们与他们前期的交流中我们了解到目前他们在实现开发应用安全软件方面还存在如下些问题外包团队和公司的研发团队对于开发安全的应用软件的意识不浓和知识不足。许多已经被等信息安全组织标识为严重软件安全漏洞的问题了解不足，或者了解深度不够，从而造成他们在编码的时候没有考虑到部分软件安全漏洞或者在安全漏洞的预防方面不够彻底和充分，因此在他们的应用系统中存在着许多诸如,的软件安全漏洞。没有完善的应用软件安全的审计策略和措施。由于缺少应用软件安全保护方面的知识，因此目前对于外包团队的项目进行软件安全审计的时候不知道在在软件的安全方面具体要审核那些内容，以及如何去预防这些漏洞，现目前也没有借助些自动化的工具，因此对应用软件的原代码审计只能采用人工的方式，显得费时费力，并且效率低下，很多漏洞都未能检查到，迫切需要种新的安全审计策略和措施来加强软件安全的审计问题。没有应用安全信息的管理平台没有个集中的应用安全信息管理平台供开发人员审计人员和管理层交流，不便于内部对与软件项目的安全风险进行收集处理分析和预测和评估。针对银监会和人民银行等监管机构对于业务系统安全源代码检查的合规管理要求准备不足，控制措施缺失。软件源代码安全扫描审计和管理方案是个静态的白盒的软件源代码安全扫描工具。其扫描结果不但能够定位造成漏洞的代码所在行，而且能够提供详细的安全漏洞的信息相关的安全知识的说明以及修复意见。它能够支持多达种的常见编程语言，如等语言，支持，的操作系统平台和其上面的代码。在发现和分析漏洞方面是全面的，是业界最完整的静态代码分析器。的分析引擎和已获得专利的数据流分析器专利编号在个其它技术无法到达的深度对问题进行广泛检测。的分析引擎以最大和最全面的安全编码规则为基础，该规的代码中插入个或几个新语句。禁止每个数据库请求执行多个语句的环境般不易受到这种注入攻击。函数调用注入在个语句中插入数据库函数调用称为函数调用注入攻击。被插入的调用可能造成系统调用或操纵数据库表中的数据。缓冲区溢出通常可以对没有打补丁的数据库成功实施这种攻击。它要么操纵输入来引起系统故障，要么执行恶意代码。我们来看个针对数据库的操纵攻击实例。图显示了应用程序开发者编写的源代码，个授权用户输入了用户名和密码。图操纵攻击实例预计输入图显示的是相同的源代码，但由攻击者输入个用户名和密码。注意，输入文本中包含带个总是返回的条件的操作符。因此，根据操作符优先原则，子句为每行返回。图目录金融业信息安全的现状银行业源代码检测的相关标准和要求信息安全等级保护基本要求信息安全管理体系要求支付卡行业数据库安全标准网上银行系统信息安全通用规范电子银行业务管理办法及电子银行安全评估指引中国银行的软件安全现状软件源代码安全扫描审计和管理方案解决方案组成源代码安全测试方法输出结果实施建议方案概要方案目的使用模式产品配置建议应用软件安全方案给银行带来的价值案例及业内位置公司产品背景部分中国客户名单权威机构最新排名附件应用安全安全漏洞及控制措施示例应用开发弱点的原始清单跨站脚本攻击描述控制措施注入缺陷描述注入攻击控制措施恶意文件执行描述控制措施直接对象引用描述控制措施跨站请求伪造描述攻击控制措施处理不当描述控制措施失效的账户和线程管理类的威胁描述控制措施密码存储保护传输凭证保护线程保护帐号列表管理程序组件的信任关系加密存储不安全描述确认存在加密存储不安全脆弱性控制措施通信不安全描述控制措施无法限制访问描述控制措施金融业信息安全的现状从光大证券乌龙指到财付通多起账户被盗事件，互联网信息系统安全成为社会关注的重点。作为我国信息化前沿的核心行业，银行业的信息安全形势和自主可控体系直是行业建设的重点。保障金融信息安全也更符合十八届三中全会决定加强金融基础设施建设，保障金融市场安全高效运行和整体稳定要求。因此建立银行业自主可控信息技术创新战略联盟机制，推动落实信息科技外包风险联合监督平台和外包合作组织机制，并进步加强统筹和引导，着力解决些关乎全局影响长远的问题提上了更好的议程。要牢牢守住信息安全底线。中国银监会副主席郭利根在会议上强调，银行业信息科技工作要牢牢守住信息安全底线，切实开展科技顶层设计，深入落实创新驱动发展战略，深化银行科技工作体制机制改革,全面激发自主创新活力，以科技创新推动银行业发展转型，以科技引领提升银行业核心竞争力，不断增强风险抵御能力。确保计算机系统和应用免受侵入和破坏是管理商业风险最为重要的部分,每年企业都花了数百万美元的成本在计算机软件,硬件和服务方面去保护他们的系统,数据免受诸如病毒黑客攻击，我们期望花更多的预算去减轻我们商业应用系统的信息安全，但是结果并不是我们想象的那样，现目前我们的信息系统仍然处在不安全的境地，据的统计，至少有的企业发现他们的系统被黑客成功地攻击过。我们已经建立了非常完善的认证系统网络安全系统入侵检测的防范措施，为什么我们的系统还是处在不安全的境地呢通过全球的些信息安全专家的调查和分析，他们得出这样个结论目前我们信息安全的主要问题是应用软件安全问题，而不是我们通常所认为的网络问题，操作系统问题„„。这下面是来自和的分析报告。对于应用安全性的检测目前大多数是通过测试的方式来实现。测试大体上分为黑盒测试和白盒测试两种。黑盒测试般使用的是渗透的方法，这种方法仍然带有明显的黑盒测试本身的不足，需要大量的测试用例来进行覆盖，且测试