CISSP認證教材OSG第9版有增加或者改動的知識點，CISSP認證的教材新版知識點可能會在考試中出現，因此我們為大家進行了梳理，CISSP認證教材OSG第9版新增(改)知識點如下。

D8-軟件開發安全

1、軟件保障成熟度模型(SAMM，Software Assurance Maturity Model)(p961)

SAMM 是由開放 Web 應用程序安全項目 (OWASP) 維護的開源項目。它旨在提供一個框架， 將安全活動集成到軟件開發和維護過程中，并為組織提供評估其成熟度的能力。SAMM 將軟 件開發過程劃分為五個業務功能：治理、設計、實施、驗證、運營。

2、NoSQL(p982)

NoSQL 數據庫是一類使用關系模型以外的模型來存儲數據的數據庫。NoSQL 數據庫沒有標準 的查詢語言(SQL)，因此進行數據庫查詢需要制定數據模型。許多 NoSQL 數據庫都有 REST 式 的數據接口或者查詢 API。有許多不同類型的 NoSQL 數據庫，例如：

? 鍵值(Key-Value)存儲數據庫，這一類數據庫主要會使用到一個哈希表，這個表中有 一個特定的鍵和一個指針指向特定的數據;

? 圖形(Graph)數據庫，它是使用靈活的圖形模型，并且能夠擴展到多個服務器上，專 注于構建關系圖譜;

? 文檔型數據庫，該類型的數據模型是版本化的文檔，半結構化的文檔以特定的格式存儲， 比如 JSON。文檔型數據庫可以看作是鍵值數據庫的升級版，允許之間嵌套鍵值，在處 理網頁等復雜數據時，文檔型數據庫比傳統鍵值數據庫的查詢效率更高。

? NoSQL 數據庫使用的安全模型可能與關系數據庫有很大不同。使用此技術的組織中安 全專業人員應熟悉他們使用的解決方案的安全功能，并在設計適當的安全控制時咨詢 數據庫團隊。

3、勒索軟件(Ransomware)(p1004)

勒索軟件是一種將密碼學武器化的惡意軟件。勒索軟件會生成一個只有勒索軟件作者知道的 加密密鑰，并使用該密鑰加密系統硬盤驅動器和任何已安裝驅動器上的關鍵文件。這種加密 使授權用戶或惡意軟件作者以外的任何其他人無法訪問數據。然后，用戶會收到一條消息， 通知他們他們的文件已加密，并要求在特定截止日期之前支付贖金，以防止文件永久無法訪 問。

支付贖金可能是非法的!除了圍繞贖金支付的道德考慮之外，還有嚴重的法律問題。2020 年， 美國財政部外國資產控制辦公室 (OFAC) 發布了一份咨詢報告，通知美國公司許多勒索軟 件作者受到經濟制裁，向他們付款是非法的。

4、惡意腳本(Malicious Scripts)(p1005)

管理員可以手動觸發腳本或將其與人力資源系統集成以在組織雇用新員工時自動運行。不幸 的是，同樣的腳本技術可用于提高惡意行為者的效率。特別是，APT 組織經常利用腳本來自 動化其惡意活動的常規部分。惡意腳本也常見于一類稱為無惡意文件的惡意軟件中。這些無 文件攻擊從不將文件寫入磁盤，這使得它們更難以檢測。例如，用戶可能會收到釣魚郵件中 的惡意鏈接。

5、高級威脅防護(Advanced Threat Protection)(p1008)

端點檢測和響應 (EDR) 包超越了傳統的反惡意軟件保護，可幫助保護端點免受攻擊。它們 將傳統防病毒軟件包中的反惡意軟件功能與旨在更好地檢測威脅并采取措施根除威脅的先 進技術相結合。EDR 包的一些具體功能如下：

? 分析端點內存、文件系統和網絡活動以尋找惡意活動的跡象

? 自動隔離可能的惡意活動以控制潛在的損害

? 與威脅情報源集成，實時洞察互聯網上其他地方的惡意行為

? 與其他事件響應機制集成以自動化響應工作 這些托管 EDR 產品稱為托管檢測和響應(MDR)服務。此外，用戶和實體行為分析 (UEBA) 包 特別關注端點和其他設備上基于用戶的活動，構建每個人正常活動的配置文件，然后突出顯 示與該配置文件的偏差，這可能表明潛在的攻擊。

6、基于內容的 SQL 盲注和基于時間的盲 SQL 注入(Blind Content-Based SQL Injection && Blind Timing-Based SQL Injection) (p1013)

基于內容的 SQL 盲注：在嘗試執行攻擊 Web 應用程序之前，攻擊者將輸入發送到 Web 應用程 序，測試應用程序是否正在解釋注入代碼。

基于時間的盲 SQL 注入：滲透測試人員可能會將處理查詢所需的時間用作從數據庫檢索信 息的渠道。

7、代碼注入攻擊 Code Injection Attacks (p1016)

SQL 注入攻擊是代碼注入攻擊的一般攻擊類別中的一個具體示例。攻擊者可能會在作為輕量 級目錄訪問協議 (LDAP) 查詢的一部分發送的文本中嵌入命令，從而進行 LDAP 注入攻擊。 XML 注入是另一種類型的注入攻擊，其后端目標是 XML 應用程序。跨站腳本是代碼注入攻 擊的一個例子，它將攻擊者編寫的腳本代碼插入到開發人員創建的網頁中。命令注入攻擊， 應用程序代碼可以返回到操作系統以執行命令，因此攻擊者可能會利用應用程序中的缺陷并 獲得直接操縱操作系統的能力。

8、不安全的直接對象引用(Insecure Direct Object References)(p1018)

在某些情況下，Web 開發人員設計的應用程序可以根據用戶在查詢字符串或 POST 請求中提 供的參數直接從數據庫中檢索信息。這樣可能讓攻擊者可以輕松查看到 URL，然后對其進行 修改以嘗試檢索其他文檔。如果應用程序不執行授權檢查，則可能允許用戶查看超出其權限 的信息。這種情況稱為不安全的直接對象引用。

9、文件包含(File Inclusion)(p1020)

文件包含攻擊是實際執行文件中包含的代碼，允許攻擊者欺騙 Web 服務器執行目標代碼。

10、請求偽造(Request Forgery)(p1023)

請求偽造攻擊利用信任關系并試圖讓用戶在不知不覺中對遠程服務器執行命令。它們有兩種 形式：跨站點請求偽造(CSRF/XSRF，Cross-Site Request Forgery 和服務器端請求偽造 (SSRF，Server-Side Request Forgery)。

11、輸入驗證(Input Validation)(p1025)

輸入驗證的最有效形式使用輸入白名單(也稱為允許列表)，其中包括開發人員描述期望用 戶輸入的確切類型。然后在將輸入傳遞給其他進程或服務器之前，驗證輸入是否與該規則匹 配。但由于允許用戶輸入的許多字段的性質，通常很難執行輸入白名單。在這種情況下，開 發人員可能會使用輸入黑名單(也稱為阻止列表)來控制用戶輸入。使用這種方法，開發人 員不會嘗試明確描述可接受的輸入，而是描述必須阻止的潛在惡意輸入。

元字符(Metacharacter)是被賦予特殊編程意義的字符。因此，他們擁有標準的普通角色 所沒有的特殊能力。轉義元字符(Escaping a metacharacter)是將元字符標記為普通字符 或普通字符(例如字母或數字)的過程，從而消除其特殊的編程能力。參數污染(Parameter pollution)是攻擊者成功用來擊敗輸入驗證控制的一種技術。

12、數據庫安全(Database Security)(p1028)

參數化查詢(Parameterized queries)提供了另一種保護應用程序免受注入攻擊的技術。 在參數化查詢中，開發人員準備一條 SQL 語句，然后允許將用戶輸入轉變為精細定義的變 量，傳遞到語句中，這些變量不允許插入代碼。存儲過程(Stored procedures)的工作方 式類似，但主要區別在于 SQL 代碼不包含在應用程序中，而是存儲在數據庫服務器上。客戶 端不直接向數據庫服務器發送 SQL 代碼。相反，客戶端將參數發送到服務器，然后服務器將 這些參數插入到預編譯的查詢模板中。

混淆和偽裝(Obfuscation and Camouflage)。在數據庫中維護敏感的個人信息，如果這些 信息被攻擊者竊取，會使組織面臨風險。數據庫管理員應采取以下措施防止數據泄露：數據 最小化(Data minimization)、令牌化(Tokenization)、哈希化(Hashing)。

13、代碼安全(Code Security)(p1029)

軟件開發人員還應采取措施保護其代碼的創建、存儲和交付。他們通過各種技術來做到這一 點：

? 代碼簽名(Code signing)：代碼簽名為開發人員提供了一種向最終用戶確認其代碼真 實性的方法。

? 代碼重用(Code Reuse):安全團隊應確保外包代碼與內部開發代碼經過相同級別的測 試。

? 軟件多樣性(Software Diversity):安全專業人員尋求避免其環境中的單點故障，以 避免在單個組件出現問題時出現可用性風險。

? 代碼庫(Code Repositories)：代碼存儲庫的主要目的是將軟件開發中使用的源文件 存儲在一個集中位置，以便安全存儲和協調多個開發人員之間的更改。代碼存儲庫還執 行版本控制(version control)，允許在需要時跟蹤更改并將代碼回滾到早期版本。 代碼存儲庫還有助于避免死代碼(dead code)問題，即代碼在組織中使用，但沒有人 負責該代碼的維護，事實上，甚至沒有人知道原始源文件所在的位置。

? 完整性測量(Integrity Measurement)：代碼完整性測量使用加密散列函數來驗證發 布到生產中的代碼是否與之前批準的代碼相匹配。

? 應用程序彈性(Application Resilience)：當我們設計應用程序時，我們應該以一種 使它們在面對不斷變化的需求時具有彈性的方式來創建它們。我們通過應用兩個相關 原則來做到這一點：可擴展性、彈性。可擴展性和彈性是云平臺的共同特征，并且是在 企業計算環境中使用這些平臺的主要驅動力

關注中培偉業，了解更多CISSP相關信息。