培训目的
1.提高程序人员的安全意识,认识到软件安全对信息安全的重要性,增强信息安全的责任感
2.让程序开发人员在开发过程中注意安全编码,显著减少或消除在部署之前的漏洞。
3.教会程序开发人员在开发阶段考虑安全问题,实施各种安全控制措施,从而达到早预防,节省成本的效果。
4. 教会开发人员识别在各开发平台上较常见安全漏洞及其根源,以及风险消除技术和手段
5.让程序员掌握在程序编写中要注意的安全细节,并学会使用安全最佳实践来预防常见的安全漏洞
关键点
1.在所有用户可以进行输入的地方(包括URL、用户提交意见栏、搜索栏、评论栏等),进行代码过滤。
2.对输入的参数验证使用白名单而不是黑名单。
3.添加检测机制,防范缓冲区溢出。
4.上传点限制:对上传的文件类型进行验证,上传目录不允许有执行权限。
5.不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接;限制表单或查询字段段输入的长度。
6.管理后台限制:对管理后台登陆进行IP限制;用户名和密码必须满足强度要求。
7.对cookie、用户密码文件等敏感数据进行加密处理。
8.使用统一的自定义错误信息替换原始错误信息。
案例
案例一.新浪微博XSS攻击事件
案例二.91如意彩事件
案例三.91黄历事件
1.提高程序人员的安全意识,认识到软件安全对信息安全的重要性,增强信息安全的责任感
2.让程序开发人员在开发过程中注意安全编码,显著减少或消除在部署之前的漏洞。
3.教会程序开发人员在开发阶段考虑安全问题,实施各种安全控制措施,从而达到早预防,节省成本的效果。
4. 教会开发人员识别在各开发平台上较常见安全漏洞及其根源,以及风险消除技术和手段
5.让程序员掌握在程序编写中要注意的安全细节,并学会使用安全最佳实践来预防常见的安全漏洞
关键点
1.在所有用户可以进行输入的地方(包括URL、用户提交意见栏、搜索栏、评论栏等),进行代码过滤。
2.对输入的参数验证使用白名单而不是黑名单。
3.添加检测机制,防范缓冲区溢出。
4.上传点限制:对上传的文件类型进行验证,上传目录不允许有执行权限。
5.不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接;限制表单或查询字段段输入的长度。
6.管理后台限制:对管理后台登陆进行IP限制;用户名和密码必须满足强度要求。
7.对cookie、用户密码文件等敏感数据进行加密处理。
8.使用统一的自定义错误信息替换原始错误信息。
案例
案例一.新浪微博XSS攻击事件
案例二.91如意彩事件
案例三.91黄历事件