代码检视规则(安全相关)

最新推荐文章于 2021-10-08 18:26:23 发布
最新推荐文章于 2021-10-08 18:26:23 发布
阅读量4.4k 收藏 3
点赞数
分类专栏: C/C++ 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/StepByStepTo/article/details/50446432
版权

看见运算,就检查整数溢出。

看见Copy, 就检查越界。

有字符串输入,就检查命令注入。

看到打印信息,就检查格式化攻击。

看到文件输入,就检查利用路径。

看到加密算法,就检查是否安全。

看到开源代码,就找历史漏洞。

看见用户名密码,就检查硬编码。

 

入口数据不校验,污染就会传进来。

循环边界走不到,Deadloop就复位。

数组索引使用他,数组读写就越界。

Copy长度用到他,堆栈越界来破坏。

内存分配用到他,资源大量被耗尽。



do-the-right
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【转载】代码箴言
applehxb的专栏
03-02 317
代码箴言 1看见了If,就想Else。 2看见malloc,就去找Free。 3函数调用要小心,需要看看返回值。 4看到for循环,就找边界值。 5看见return要注意,要去前面找资源。 6看见数组把神提,问题往往在下标。 7不要小看字符串,长度是个大问题。 8得到函数不要急,看看变量初始化,各种路径要小心。 ...
【C++】SonarQube C++ 静态代码规则
最新发布
u013576331的博客
12-29 1502
举例:Virtual function 'UpdateStatus' is called from constructor 'Remote' at line '42'. Dynamic binding is not used.举例:Function 'CheckRemoteConnection' argument 3 names different: declaration 'remoteType' definition 'type'.可省略,通过返回值编译器可以自行推断。',明确运算符 '&' 和 '?
在华为写了 13 年代码,都是宝贵的经验
weixin_44421461的博客
10-15 697
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏原创 | Java 2020超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析...
常见codeDEX问题及处理方案
热门推荐
蓝关故人
08-27 1万+
Fortify工具介绍 Fortify静态代码分析器(SCA)通过以更少的工作量,更短的时间识别漏洞并保持代码质量,在帮助创建安全软件方面发挥着重要作用。Fortify SCA测到其他静态测试技术无法比拟的广泛问题。Fortify软件安全研究组是一个全球团队,被业界公认为监控新兴威胁的顶级安全组织,他们的知识汇集到Fortify SCA(以及所有其他Fortify产品)中,因此组织可以掌握最新...
Eclipse代码插件使用说明
02-25
Eclipse代码插件,代码的规范性和合格性
怎样去阅读一份php源代码
10-29
项目所采用的设计模式,对比你已知的设计模式,这有助于你更好地驾驭代码,提升设计能力。 7. **性能优化**: 学习源代码在处理访问压力、执行效率、系统效率和数据库查询优化方面的策略,这将帮助你在实际...
splint安装配置,同SourceInsight结合使用
05-24
它通过代码中的潜在错误,如未初始化的变量、未使用的参数、可能的空指针引用等,帮助开发者在程序运行前发现和修复问题,从而提高代码的健壮性和安全性。Splint的一个重要特点是其可配置性,用户可以根据项目...
PClint和SI的配置文件和手册
05-28
SI同样允许用户自定义规则,以满足不同项目的规范和安全要求。在实际应用中,SI和PClint可以协同工作,提供多层次的代码查,以达到最佳效果。 配置PClint和SI需要对两个工具的选项和规则有深入理解。PClint的配置...
实训期间Java源代码
08-20
Java是一种广泛应用的面向对象的编程语言,以其平台无关性、高效性和安全性著称。本实训主要涵盖了Java源代码的编写,同时也涉及到了CSS和JavaScript,这些都是构建现代Web应用的关键技术。 首先,Java源代码是程序...
calculator:具有HTML5和CSS3的纯JavaScript计算器
04-30
根据BODMAS规则对基本计算方法进行了编码,使用户可以享受标准计算器的所有核心操作 该计算器通过将每个按钮的分配值推入数组来工作。 首先查用户的输入是否有效。 如果有效,将计算方程式并将其显示在屏幕上。 ...
软件测试缺陷密度的计算方法
03-26
NULL 博文链接:https://kingtai168.iteye.com/blog/1168073
C/C++代码要点
01-31
代码技能属于开发人员的基本功,能够很大程度地反应出开发人员的能力水平,前面4.4.1节已经讲过提高评审的方法。下面以实际的C/C++语言方面的代码来讲解代码的一些基本关注点和重点查的内容。从C/C++语言开发的代码来讲,时主要关注以下一些方面:下面对这些需要关注的方面进行更进一步的说明: 只要将代码对照详细设计进行比较就很容易查出代码是否和详细设计一致,采用逐行逐字阅读进行比较的方法进行。 编译设置主
安全编程:代码静态分析
07-18
很好的一本书,教人审计代码进行漏洞挖掘,老外写素质还是可以的
软件测试缺陷密度的计算方法,如何计算缺陷密度?
weixin_39637921的博客
07-25 3497
2015-06-18 06:30:02阅读( 141 )基本的缺陷测量是以每千行代码的缺陷数(Defects/KLOC)来测量的。称为缺陷密度(Dd),其测量单位是defects/KLOC。缺陷密度=缺陷数量/代码行或功能点的数量可按照以下步骤来计算一个程序的缺陷密度:1. 累计开发过程中每个阶段发现的缺陷总数(D)。2. 统计程序中新开发的和修改的代码行数(N)。3. 计...
代码规则:Java语言案例详解
weixin_41888295的博客
10-08 697
本节课程为《代码规则:Java语言案例详解》, 通常情况下Java的代码规则可以分为以下十类: 接下来,让我们具体来看看每个分类的内容。 一、源文件规范 该类规范主要从文件名、文件编码、特殊字符三个方面制定的规则。 01 文件名 Java源文件名必须和它包含的顶层类名保持一致,包括大小写,并以.java作为后缀名。 02 文件编码 为保持编码风格的一致性,避免编码不一致导致的乱码问题,要求所有源文件编码必须使用UTF-8格式。 03 特殊字符 特殊字符方面的规则主要是针对换行、缩进、空格等操作而制
代码工具Gerrit的日常使用
peterxiaoq的专栏
06-26 5664
代码工具Gerrit的日常使用 1, Gerrit是什么? Gerrit实际上一个Git服务器,它为在其服务器上托管的Git仓库提供一系列权限控制,以及一个用来做Code Review是Web前台页面。当然,其主要功能就是用来做Code Review。 2, Gerrit用户配置 Email激活 Gerrit账户的设置界面,点击“Contact Informa
让眼睛去代码里旅行(代码的一些心得)
cjxunooo的博客
12-12 2205
一、前言 我一直相信,代码可以帮助开发人员,验证软件的所有功能,发现代码中的所有Bug。 我也一直认为,不断进行代码,是开发人员提升软件质量,提高工作效率最好的方法。 代码就是LLT测试,代码也是黑盒测试,当你的眼睛扫过代码行的同时,你的脑子在想着软件功能,这就是高效、活生生的功能测试。 另外,代码还能完成功能测试不能完成的事情:提高代码简洁性、可读性、低耦合、可维护性等。 下...
java代码安全查工具_Java文件解析工具箱设计,快速文件编码的安全
weixin_30667487的博客
02-16 254
(免责声明:我在询问之前看了这里的一些帖子,我发现this one特别有帮助的是,我只是想从你们那里得到一点理智的查,如果可能的话)大家好,我有一个内置Java产品,用于处理加载到数据库中的数据文件(又名ETL工具)。我已经为xslt转换预先准备了阶段,并在原始文件中执行模式替换之类的操作。输入文件可以是任何格式,它们可以是平面数据文件或XML数据文件,您可以配置加载特定数据源所需的阶段。到目前...
2021年内联网安全系统行业安全生产标准化手册.pdf
09-30
自评报告的完成标志着企业对自身安全生产管理的认真对待和建设性反思,对于企业自身而言,是一次重要的自我和内部管理的规范化,也为外部监管提供了一份客观、数据支撑的评价材料。同时,自评报告的结果和改进...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值