每个开发人员都应该知道的 10 大安全编码实践_编码开发安全(1)

最新推荐文章于 2024-05-06 14:46:30 发布
最新推荐文章于 2024-05-06 14:46:30 发布
阅读量241 收藏 8
点赞数 4
分类专栏: 程序员 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84281729/article/details/138316596
版权
  • 破坏: 导致对组织的系统、应用程序或数据进行未经授权的访问或损坏的成功攻击。
    现在我们已经介绍了网络风险的基础知识,让我们继续讨论你可能遇到的一些网络攻击类型。每个开发人员都应该知道的十大安全编码实践。

网络攻击的类型

存在多种类型的网络攻击,但有些类型比其他类型更为常见。在本节中,我们将介绍你作为开发人员需要注意的最常见的攻击形式。

SQL注入

SQL 注入是最常见的攻击类型之一。当攻击者将恶意代码插入 SQL 数据库以获取对敏感数据的访问权限时,就会发生这种情况。

跨站点脚本 (XSS)

跨站点脚本 (XSS) 是一种将恶意代码注入网页的攻击。当用户访问受感染的页面时,恶意代码就会被执行,从而使攻击者能够窃取敏感信息或控制用户的浏览器。

拒绝服务 (DoS) 和分布式拒绝服务 (DDoS) 攻击

拒绝服务 (DoS) 攻击试图使其合法用户无法使用计算机或网络资源。分布式拒绝服务(DDoS) 攻击是一种DoS 攻击,它使用多台计算机向目标充斥流量,使合法用户难以或不可能访问资源。

恶意软件

恶意软件是一种旨在损坏或禁用计算机的软件。它可以有多种形式,例如病毒、蠕虫、特洛伊木马和间谍软件。

网络钓鱼

网络钓鱼是一种社会工程攻击,涉及诱骗用户泄露敏感信息,例如登录凭据或财务信息。攻击者经常使用电子邮件或短信引诱受害者访问类似于合法网站的虚假网站,例如银行或社交媒体。

十大安全编码实践

现在我们已经确定了安全编码实践的重要性,让我们来看看每个开发人员都应该知道的十大安全编码实践,以帮助抵御网络攻击。

1.使用静态代码分析工具

查找和修复代码中安全漏洞的最佳方法之一是使用静态代码分析工具。静态代码分析工具扫描你的代码以查找潜在的安全漏洞,并为你提供可操作的见解,以便你修复它们。

例如,假设你正在开发用于来电显示的 Web 应用程序。静态代码分析工具会扫描你的代码以查找常见的 Web 应用程序安全漏洞,例如 SQL 注入和跨站点脚本 (XSS)。如果发现任何潜在漏洞,该工具将为你提供有关如何修复这些漏洞的信息。

2.让你的软件保持最新

这不仅包括你正在使用的操作系统,还包括你正在使用的任何第三方软件库和框架。过时的软件通常是造成安全漏洞的原因。随着软件的老化,新的安全漏洞会被发现并在更新的版本中得到修复。但是,如果你仍在使用较旧的软件版本,你就有被这些新发现的安全漏洞利用的风险。

这就是为什么必须始终使用你使用的所有软件的最新版本。通过这样做,你可以帮助保护你的代码免受已知安全漏洞的影响。

3.使用强密码

这意味着使用大小写字母、数字和特殊字符的组合。为每个帐户使用不同的密码也很重要。这样,如果你的一个帐户遭到入侵,攻击者将无法访问你的其他帐户。例如,假设你正在使用托管 PBX 电话系统并处理 PandaDoc 服务提案模板。为你的 PandaDoccommunications 平台帐户使用与电子邮件帐户相同的密码。然后,如果你的电子邮件帐户被黑客入侵,攻击者也将可以访问你的 PandaDoc 帐户通信平台帐户。

为了帮助你记住所有不同的密码,你可以使用密码管理器。密码管理器是一种软件应用程序,用于存储和加密你的密码。这样一来,你只需记住一个主密码即可访问所有其他密码。

4.清理你的数据

在存储或处理数据之前,重要的是对其进行清理以删除任何可能有害的内容。数据清理是识别和消除或转换数据中潜在有害内容的过程。

例如,假设你正在开发一个允许用户提交文章评论的 Web 应用程序。在将这些评论存储在你的数据库中之前,你应该对它们进行清理以删除任何可能用于发起跨站点脚本 (XSS) 攻击的潜在有害 HTML 标记或脚本代码。

通过清理你的数据,你可以帮助保护你的应用程序免受安全漏洞的影响。

5.加密你的通讯

另一个重要的安全编码实践是加密你的通信。这意味着使用一种称为传输层安全性 (TLS) 的技术来加密两个系统之间传输的任何数据。

TLS 是较旧的安全套接字层 (SSL) 协议的继承者。TLS 比 SSL 更安全,因为它使用更强大的加密算法。

在加密你的通信时,使用仍然被认为是安全的 TLS 版本很重要。目前,最新和最安全的 TLS 版本是 1.3。

6.实施双因素身份验证

双因素身份验证 (2FA) 是一个额外的安全层,可用于保护你的帐户。使用 2FA,你需要提供密码和另一条信息,例如发送到你手机的代码。这使得攻击者更难访问你的帐户,即使他们以某种方式设法获取了你的密码。

假设你要通过电子邮件发送客户意向书模板的合规性测试结果。如果你的电子邮件帐户启用了 2FA,攻击者不仅需要你的密码,还需要访问你的手机以查看登录所需的代码。

7.尽量减少你使用的代码量

使你的代码更安全的一种方法是尽量减少你使用的代码量。你拥有的代码越少,出现安全漏洞的可能性就越小。

有几种方法可以最大限度地减少你使用的代码量。一种方法是使用现有的库和框架而不是编写代码。另一种方法是使用设计简洁的编程语言,例如 Python。

8.定期进行渗透测试

渗透测试(也称为笔测试)是对你的系统进行模拟攻击,以发现安全漏洞。渗透测试可以手动执行,也可以借助自动化工具执行。

定期渗透测试是在攻击者利用它们之前发现并修复潜在安全漏洞的好方法。

9.应用防病毒软件并保持最新

防病毒软件可以帮助保护你的系统免受恶意软件的侵害。它通过扫描文件并识别任何受感染的文件来工作。如果文件已损坏,防病毒软件将删除恶意软件或隔离文件。

保持防病毒软件处于最新状态至关重要,因为新的恶意软件不断被创建。大多数防病毒软件都会自动更新,但你应该检查你的软件是否属于这种情况。

10.遵循最小权限原则

最小权限原则(也称为最小权限原则)是一项安全原则,它规定用户只应获得执行其工作所需的最少权限。

例如,如果你是开发人员,你可能不需要计算机的管理权限。但是,授予开发人员管理权限可能会导致潜在的安全漏洞,因为它们可能会无意中让攻击者访问敏感信息或系统。

总结

所以你有它。这是每个开发人员都应该知道的十种安全编码实践。它们一起可以减少错误并保护你的系统免受恶意活动的侵害。通过遵循这些约定,你可以帮助确保代码安全、保护你的公司并减少被攻击者利用的机会。

如何自学黑客&网络安全

黑客零基础入门学习路线&规划

初级黑客
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)

2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)

4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k

到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?

如果你想要入坑黑客&网络安全,笔者给大家准备了一份:282G全网最全的网络安全资料包评论区留言即可领取!

7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.

如果你零基础入门,笔者建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习;搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime;·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;·用Python编写漏洞的exp,然后写一个简单的网络爬虫;·PHP基本语法学习并书写一个简单的博客系统;熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选);·了解Bootstrap的布局或者CSS。

8、超级黑客
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
img

网络安全工程师企业级学习路线

img
如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言获取吧。我都会回复的

视频配套资料&国内外网安书籍、文档&工具

当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。

img
一些笔者自己买的、其他平台白嫖不到的视频教程。
img

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84281729
关注
专栏目录
java 编码规范 安全_【安全开发】java安全编码规范
weixin_42488179的博客
02-12 306
申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-3-java%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84%E8%8...
Java安全编码培训.pdf
04-18
同事两行泪”的口号,突出安全编码应当贯穿于软件开发生命周期的每一个环节。随后,课程内容提到了安全领域考核标准,强调了开发风险管理、上线前安全扫描和安全漏洞修复的重要性,并且给出了具体的考核分数分配,...
安全编码实践二:NXCOMPAT选项和数据执行保护DEP
技术代码资料库
04-26 171
《程序员》3月文章 申明。文章仅代表个人观点,与所在公司无任何联系。 概述 在安全编码实践一中我们谈到GS编译选项和缓存溢出。缓存溢出的直接后果就是可能导致恶意代码的远<wbr></wbr>程执行。GS选项存在自身的局限,例如,有若干方法可以绕过GS选项的保护。 在这篇文章里,我们会介绍另外一个非常重要的安全特性<wbr></wbr>...
每个开发人员应该知道10安全编码实践
努力是为了站在万人之中,成为别人的光
01-28 9260
所以你有它。这是每个开发人员应该知道的十种安全编码实践。它们一起可以减少错误并保护你的系统免受恶意活动的侵害。通过遵循这些约定,你可以帮助确保代码安全、保护你的公司并减少被攻击者利用的机会。
组织级安全编码实践
chengying332
12-19 621
组织级安全编码实践 本案例介绍了如何构建组织级安全编码防护体系,通过建立软件代码的安全原则与标准、并实施度量,围绕“构建一套安全的软件,得到客户信任”,介绍华为接入网软件如何在编码时保证软件的安全,支撑产品安全得到业界TOP运营商和对应国家的信任。 详细解读 和小伙伴们一起来吐槽
安全编码实践之三:身份验证和会话管理防御
04-09 410
声明:本文由Bypass整理并翻译,仅用于安全研究和学习之用。 文章来源:https://medium.com/bugbountywriteup/how-to-write-secure-code-d4823bc2e86d 如何编写安全代码?保护自己免受破碎的身份验证和会话管理! 需要安全代码? 我一直致力于安全编码实践,并试图尽可能多地学习基本要点。在过去的几年里,我已经...
C安全编码标准 开发C安全编码标准 开发安全、可靠、稳固系统的98条规则
03-03
《C安全编码标准:开发...这本书对于任何使用C语言进行开发的人员来说,都是一个宝贵的资源,它提供了一个系统化的框架来提升代码质量和安全性。通过深入学习并遵循这些规则,开发者能够构建出更加可靠、安全的系统。
轻量级安全开发流程实践.pdf
08-10
李广林结合自身的实践经验,提出了安全贯穿于业务始终的管理理念,旨在通过一系列的安全开发流程实践,确保业务在每个环节的安全性。 安全左移是指将安全工作融入到软件开发生命周期的早期阶段,从而避免安全问题在...
C_C_和Java安全编码实践提示与技巧,C_C_和Java安全编码实践提示与技巧
09-17
C_C_和Java安全编码实践提示与技巧,C_C_和Java安全编码实践提示与技巧,C_C_和Java安全编码实践提示与技巧
web安全编码
10-26
web安全编码
C安全编码标准_中文版
02-26
通过遵循C安全编码标准,开发人员可以显著提高软件的安全性和可靠性。这些标准涵盖了从数据类型选择到输入验证等多个方面,旨在帮助开发者避免常见的错误和陷阱。虽然这里介绍的只是其中的一部分内容,但它们已经...
安全编码实践
qq2007xia的专栏
06-08 2502
转自: http://www.uml.org.cn/safe/201212174.asp 安全编码实践   作者:chengyun_chu,发布于2012-12-17, 来源:CSDN   目录: 安全编码实践之一:GS编译选项和缓存溢出 安全编码实践之二:NXCOMPAT选项和数据执
使用 XML: 安全编码实践
bulain
12-08 191
[url]http://www-128.ibm.com/developerworks/cn/xml/x-wxxm33/?ca=dwcn-newsletter-xml [/url] 使用 XML: 安全编码实践,第 4 部分 了解在处理混合有 XML 和二进制数据的文档时如何作出最佳选择。这是 BenoÎt 关于 XML 编码实践 系列文章 的最后一部分,帮助您了解混合处理文本和二进制内容的各种...
安全编码实践系列
Aegeaner的专栏
03-09 1304
褚诚云的信息安全专栏 http://blog.csdn.net/chengyun_chu 安全编码实践一:GS编译选项和缓存溢出 http://blog.csdn.net/chengyun_chu/article/details/1942172 安全编码实践二:NXCOMPAT选项和数据执行保护DEP http://blog.csdn.net/chengyun_chu/article/deta
Security+ 学习笔记12 安全编码实践
tushanpeipei的博客
09-21 1388
一、输入验证(Input validation) 用户向一个应用程序提供输入的任何情况都会使该应用程序被利用。用户提供的输入可能包含旨在与数据库交互的代码,操纵网站未来访问者的浏览器,或执行其他一些攻击。在上一个笔记中,我们提到了包括SQL注入和跨站脚本都是基于输入的攻击。防止基于输入的攻击的最重要方法之一是使用输入验证。 这种技术对用户输入进行过滤,确保终端用户提供的输入不包含恶意的或其他意外的值。 我们可以采取两种不同的方法进行输入验证,即白名单(Whitelisting)和黑名单(Blacklist
编程开发安全编码
u013257767的博客
01-25 279
文章目录敏感信息保护安全审计远程传输输入校验SQL处理 敏感信息保护 敏感信息 安全审计 远程传输 输入校验 SQL处理
2024年最新前端安全编码规范,实践出真知
最新发布
2401_84301352的博客
05-06 975
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
软件安全开发编码检查与安全实践
- 实施软件安全开发生命周期(SDL,Software Development Lifecycle),将安全考虑融入每个开发阶段。 - 使用安全编码技术,例如使用安全的字符串操作函数(如`strncpy`, `strlcpy`等),进行边界检查,使用参数化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值