FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

前言

在数字化浪潮席卷各行各业的今天，安全漏洞如同悬在每一家企业头上的达摩克利斯之剑。我们是否曾反思，那些耗费巨资“打补丁”才堵上的安全漏洞，其根源或许并非几行粗心的代码，而是诞生于系统蓝图绘制之初的一个设计决策？传统的“先开发，后安全”模式，正如在松软的沙地上筑楼，注定事倍功半。

本文旨在拨开迷雾，深入探讨“安全设计”这一常常被忽视却至关重要的领域。我们将不再局限于讨论如何修复漏洞，而是聚焦于如何从架构的源头避免漏洞的产生。通过剖析不安全设计的真实案例，解读安全设计的核心原则（如最小权限、纵深防御），希望为每一位网络安全工程师、安全开发者和安全项目经理提供一套可落地的实践指南，帮助大家构筑起数字时代真正可靠的防线。

一、安全设计漏洞：Web应用安全的关键支柱

安全设计是在构建开始之前就建立防护措施，并将安全性融入软件开发生命周期的每个阶段。其目的是在设计阶段识别并解决潜在弱点，从而构建出更具韧性的系统。安全设计将焦点转向更主动的方法，相比事后修补，能从更底层强化系统。

为何安全设计至关重要

在Web应用安全领域，安全设计将焦点从被动的安全措施转向从头开始构建具有韧性的系统。从起步就集成安全，确保其成为软件的核心功能，而非事后补救。这种主动方法至关重要，原因如下：

• 保护敏感数据：防止敏感用户数据被未授权访问。
• 防止未授权访问：确保只有授权用户才能访问特定功能与数据。
• 维护系统完整性：保护应用免受可能危及其功能的威胁和漏洞影响。

OWASP Top 10中的不安全设计问题

攻击者可以利用软件中的这些设计缺陷来获取系统未授权访问权限、操纵敏感数据，甚至破坏整个系统功能。开放Web应用安全项目是一个知名的非营利组织，创建社区驱动的软件安全意识材料。OWASP Top 10清单列出了最关键的Web应用安全缺陷。不安全的Web应用设计已连续多年位列该榜单。

• 设计薄弱的认证机制：弱的认证方法，例如缺乏多因素认证、不良的凭证保护技术（包括使用弱密码）、以明文存储敏感信息等，都会使系统安全面临风险。
• 授权控制不足：弱授权控制的另一个基本例子是，缺乏对用户登录应用后能执行操作的控制。许多用户可能可以执行许多其本不应具备权限的功能。
• 不当的错误处理：在应用设计阶段，不充分的错误处理会导致潜在问题。错误消息透露过多信息可能为攻击者提供足够细节来实施攻击。

从开发伊始集成安全

在传统的"先开发后防护"软件开发模型的最后阶段，程序已经构建完成，此时才添加安全协议。这种安全实践是反应式的而非主动式的，现在已被广泛认为是低效的。

支持采用安全设计的另一个优势是生产效率：在设计阶段识别弱点比在系统部署后再处理它们更高效、更经济。如果无法容忍安全漏洞，那么在系统早期设计阶段建立静态防御是最有效的选择。

二、什么是不安全设计

不安全设计是指结构、软件或系统架构中存在的、可被恶意人员利用的缺陷和弱点。这些弱点可能带来各种安全威胁和风险，从而破坏信息的机密性、完整性和可用性。

不安全的根源在于规划和实施设计过程中的决策失误。这可能包括对已识别的风险因素认识不足、缺乏适当且彻底的安全评审、未能确保系统关键方面的安全性，或是忽略了安全协议。

滋生攻击漏洞的软件缺陷

安全设计实践能最小化攻击者可能利用的潜在弱点。安全设计的一个要素是确保应用中不存在潜在的错误或缺陷。在软件开发中，安全设计对于确保应用的核心功能和业务逻辑尽可能安全，抵御对手的任何操纵或利用企图至关重要。

不安全设计特指由于现代应用架构设计缺陷而可能被利用的某种漏洞。有时，这些缺陷可能是结构性的，并贯穿应用架构的设计层面。不安全设计未能考虑恶意用户对应用的潜在威胁，导致因开发者设计本身而存在安全漏洞。

设计过程中未能遵循安全最佳实践

构建一个考虑周全的应用或软件系统对于保护敏感信息至关重要。它为保护数字基础设施及其组件奠定了基石。不幸的是，关于新的违规和黑客攻击的新闻屡见不鲜，凸显出在某些领域，安全措施和技术仍显滞后，因而被利用。

在设计阶段，关于安全协议的最佳实践应超越防火墙和加密措施等基础集成。识别潜在风险是减轻此类威胁对系统影响的关键方法，并且这应从设计阶段就开始进行。

理解此漏洞在应用开发初始阶段的特殊性

软件开发生命周期的初始阶段对于主动应对潜在安全漏洞至关重要。集成安全措施有助于组织节省时间和金钱，同时保护其系统和用户免受潜在威胁。

初始阶段的漏洞

• 安全SDLC的重要性：开发应用时，对安全方面的关注从第一步就应开始，并且贯穿始终，包括目标设定。每位开发者和相关方必须首先确立安全需求、进行威胁建模并设定安全目标。
• 规划：规划阶段必须考虑安全人员的意见，他们应评估所建议的方案是否能以有效且安全的方式解决问题。
• 设计：在项目设计阶段，协助用户控制对敏感数据的访问、保护数据本身以及缓解所有可能的威胁，成为该阶段设计的主要焦点。

其他阶段的漏洞

• 开发阶段：编码使此阶段容易受到安全漏洞的影响。可以使用Linter、SpotBugs等工具来审查代码中容易引入安全漏洞和代码质量隐患和其他安全漏洞。对于更高级的安全防护，可以选择诸如Bandit（用于Python）或GoSec（用于Golang）等工具。
• 代码篡改：代码篡改可能发生在CI/CD流水线的任何环节，因为它涉及修改或注入可疑代码。通过在整个SDLC中正确实施监控系统，可以解决代码篡改滥用问题。可以使用优秀的CI/CD平台，如Gitee Pipe，其“端到端可追踪机制”有助于确保从代码提交到构建产物的流程可信可控
• DevOps工具与基础设施：诸如源代码管理工具、构建系统和包仓库等工具通常为追求效率而非安全性进行配置，这可能导致工具被攻破和敏感数据泄露。

初期决策失误对功能与安全的影响

项目初期表现出的能力不足可能导致诸多妥协和功能故障，从而使整个项目偏离轨道。这些失败通常源于开始执行时放弃了正确的战略步骤，其根本在于缺乏相关方的充分参与、目标模糊以及风险评估不足。

初期决策失误导致功能故障的示例：

• 范围蔓延：项目范围定义不清会导致范围蔓延，即在没有适当控制的情况下不断增加新需求。例如，某金融服务应用因不断变化的相关方需求而导致范围不受限制的扩张，最终造成工期延误和预算超支。
• 缺乏规划：在没有全面路线图的情况下启动项目会导致不确定性、目标模糊和沟通不畅。例如，某产品改版因缺乏规划而失败，导致工期延误和资源管理不善。
• 不切实际的预算：设定不切实际的预算而未考虑所有潜在成本，会导致财务紧张和项目超支。
• 相关方参与不足：未能尽早让关键相关方参与进来，会导致需求遗漏和缺乏支持。

常见设计漏洞示例

在软件开发中，维护安全至关重要。某些设计缺陷可能会暴露应用的安全性。我们将探讨三个常见的设计缺陷：输入验证控制不足、敏感数据泄露以及缺乏安全通信层。

输入验证控制不足

应用安全始于适当的数据输入验证。开发者未能做到这一点可能导致诸如SQL注入或跨站脚本等攻击。

设想一个场景：用户可以在Web应用的帖子后发表评论。如果不对评论字段进行验证，攻击者可能会发布一段脚本而非评论，该脚本可能会在每个查看该评论的用户浏览器上执行，从而窃取关键信息或劫持会话。

敏感信息泄露

敏感信息泄露是指在未经目标受众同意的情况下公开机密信息的行为。不恰当地暴露个人身份信息、财务信息甚至公司机密信息都属于此类。

例如，曾有国内某知名快递公司因内部员工账号被盗用，导致大量用户个人信息（包括姓名、电话、地址等）在暗网被贩卖的事件。此类事件不仅对用户造成困扰，也给企业带来巨大的声誉损失和法律风险。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）