下载后可任意编辑课 时 2 课时第 13 周 第 1-2 课时 2024 年 11 月 21 日课题:应用程序安全-QQ 安全防护一、教学目的:1、了解应用程序的安全性现状和腾讯 OICQ 所面临的各种威胁; 2、掌握腾讯 OICQ 的安全设置及其工具的使用。二、教学重点:腾讯 OICQ 的安全设置及其工具的使用。三、教学难点:腾讯 OICQ 的安全设置及其工具的使用。四、教学方法:以投影仪辅助讲解为主五、教学用具: 黑板、多媒体计算机、投影仪、CAI 课件六、教学过程:1 应用程序安全性现状 ----------------------------------------------- (约 20 分钟)(1) 软件开发方法缺乏对应用程序安全性的认识威胁建模和安全对策在的应用程序开发生命周期里十分重要。威胁建模的核心是开发人员标识应用程序中需要加以保护的敏感信息,安全对策用以测试应用程序的安全性,确保私有数据不会遭受潜在的攻击。(2) 无视安全的开发软件开发人员需要采纳安全的编码技术,如加密、认证和密码策略,而很多大学都还没有为软件开发人员开设教授这些技术的课程,导致编写代码的软件工程师没有学过这些技术,他们也就意识不到潜在的安全问题。(3) 应用软件缺乏安全的测试应用程序测试应该由专门的质量认证人员来执行,他们理解测试安全及功能的重要性。质量认证阶段应进行安全测试,以确保程序的安全功能正常工作。此外他们还应进行逆向测试,以确定应用程序如何处理象长字符串、特别字符和错误条件等异常情况。质量认证应使用问题跟踪系统将安全问题与其它程序缺陷一起按优先级排序。(4) 讨论方向 所有软件开发人员应该接受安全应用程序开发基本原理的教育,开发人员应该从整体上考虑应用程序开发,在设计之初实行威胁建模方案,并在设计阶段全面考虑安全对策,并进行严格的质量认证测试。虽然开发安全的应用程序不存在万全之策,但开发人员可以用多个流程和不同方法检查漏洞,以在正式发布前确保应用程序的安全性。2 常见 QQ 攻击方式 -------------------------------------------------- (约 20 分钟)(1) QQ 拒绝服务攻击腾讯为了防止黑客穷举密码,设置了保护机制,限制登录次数为 30 次,假如给于 30 次以上的错误登录,即使密码正确也会显示密码错误,形成最简单的 QQ 拒绝服务攻击。(2) QQ 爆机 发送给对方一个长度为 0 字节的文件(用记事本新建一个文件,什么都不输入,保存退出,即可得到一个长度为 0 的文件)。(3) QQ 信...
