保护 ObjectARX 应用程序
网络安全攻击是导致知识产权 (IP) 和生产力损失的主要原因之一。
自 2013 年产品发布以来,Autodesk 一直在通过引入以下功能和其他功能来强化和保护基于 AutoCAD 的产品:
-
安全模式 - 限制自定义应用程序的加载
-
受信任的应用程序位置和属性域 - 限制基于 AutoCAD 的产品可以加载自定义应用程序的位置
-
支持和验证数字签名的应用程序 - 标识创作\发布自定义应用程序的公司,以及文件在发布后是否被更改
-
在开发过程中扫描易受攻击的模块 - 在产品发布之前进行检查以验证是否使用了最新版本的开发库
为了真正保护基于AutoCAD的应用程序,必须保护所有入口点,其中包括自定义应用程序和第三方应用程序。应执行许多任务来帮助保护编写和分发的应用程序,这些任务包括:
- 使用与安全相关的编译器标志
- /GS – 为应用程序启用堆栈缓冲区溢出检测功能,以帮助最大程度地减少 shell 代码利用缓冲区溢出的尝试。
- /NXCOMPAT – 启用 Windows 数据执行保护功能,使数据难以执行。
- /DYNAMICBASE – 允许使用地址空间布局随机化 (ASLR),该 ASLR 会生成可在加载时随机重新变基的可执行映像。
- /SAFESEH – 在 32 位可执行文件中启用异常处理程序保护。仅调度其地址列在 PE 标头中的异常处理程序。
- /SDL – 启用安全开发生命周期 (SDL) 检查,其中包括额外的安全代码生成功能和额外的安全相关警告。
- 添加 #define _SDL_BANNED_RECOMMENDED
- 包括 banned.h
- 支持结构化异常处理程序覆盖保护 (SEHOP) – 每个可执行文件 (EXE) 注册表项,有助于防止异常链损坏,而无需重建 EXE 文件
- 对所有可执行文件 (DLL/EXE/JS/...) 文件进行数字签名
- 在使用任何输入之前对其进行验证
- 使用 HTTPS 协议通过网络访问信息
- 使用第三方和开源库时,请确保您的应用程序正在使用最新版本,并且该库正在维护中
- 使用 Microsoft Visual Studio 中内置的工具或第三方实用程序(如 Micro Focus DevPartner for Visual C++ / BoundsChecker Suite 和 TeamBLUE PurifyPlus)检查是否有任何内存泄漏
- 测试应用程序,确保它们使用以下设置的默认值正常工作:
- LEGACYCODESEARCH = 0 - 控制搜索可执行文件是否包括从中启动程序的文件夹。
- SECURELOAD = 1 - 根据可执行文件是否位于受信任文件夹中来控制 AutoCAD 是否加载可执行文件。
|