软件安全编码

最新推荐文章于 2024-07-24 16:51:17 发布
最新推荐文章于 2024-07-24 16:51:17 发布
阅读量166 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53633989/article/details/130441668
版权
文章探讨了安全编码中的关键问题,包括使用强输入验证,避免黑名单策略,防止缓冲区溢出,尤其是C/C++中的问题,如gets()函数的安全隐患,以及strncpy()和strncat()的正确使用。此外,提到了SQL注入和字符串操作的潜在风险,强调了动态和静态内存分配中防止数据截断和确保安全内存管理的重要性。
摘要由CSDN通过智能技术生成

常见的安全编码问题:

安全输入

1输入验证方法

强输入验证

白名单

黑名单

间接选择

避免黑名单

不要混淆可用性和安全性

拒绝不良数据

默认执行正确的输入验证

检查输入长度

限制数值输入

2输入验证原则

接受输入,但是不能全部信任

对所有的输入必须进行验证

不要修复恶意的输入

3输入验证内容

所有的输入

各种来源的输入

  • 命令行参数
  • sql注入

建立信任边界

将可信数据和不可信数据分开存储

危害

缓冲区溢出

SQL注入

字符串问题

无边界检查(unbounded string operation)

c/c++没有边界检查

C/C++语言标准库中的许多字符串处理和 IO 流读取函
数是导致缓冲区溢出的罪魁祸首
gets()函数
没有提供方法对输入的字符个数进行限制,会导致缓冲区溢出的问题
使用fgets()和gets_s()进行替换

差一错误(off-by-one-error)

一字节溢出

在比较时使用了<,没有考虑到一个序列是从0开始,而不是从1开始,忽略了字符串最后的结束标志'\0'

strncpy(char* dst,const char* src,size_t n);

常见错误:

将数据写到目标缓冲区外

        边界通过源数据的大小确定,没有考虑目标地址是否会溢出

使用的目标缓冲区没有正确的终止

        没有在缓冲区中写入终止符

        strncpy调用重复写入了NULL终止符

strncat(char* dst,char* src,size_t bound)

        边界参数应该是目标缓冲区剩余容量的大小

        目标缓冲区需要包含NULL终止符

        确保源和目的缓冲区都包含NULL终止符

空结尾错误(Null end error)

字符串截断(string truncation)

如果源数据的长度大于边界参数的值,则有界函数即使调用正确,依然会发生数据截断错误

避免截断错误

  1. 动态内存分配
  2. 静态内存分配面临的2类数据截断错误
    1. 字符串由于目标缓冲区大小的限制导致截断,使得字符串语义被迫截断
    2. 无正确终止符的字符串
  3. 避免悄无生息的截断

安全的内存管理

1.缓冲区溢出

数据写到所分配内存之外的地方

缓冲区溢出漏洞用来覆盖内存中的值,从而达到攻击者的目的

缓冲区溢出错误给攻击者大量机会控制有漏洞的代码

程序内存分配

栈区:类似数据结构中的栈 编译器自动释放

堆区:类似于链表 OS释放

全局区:全局变量和静态变量 OS释放

文字常量区:存放字符串常量 OS释放

程序代码区:存放函数体的二进制代码

木子南的翻斗花园
关注
每个开发人员都应该知道的 10 大安全编码实践
努力是为了站在万人之中,成为别人的光
01-28 9291
所以你有它。这是每个开发人员都应该知道的十种安全编码实践。它们一起可以减少错误并保护你的系统免受恶意活动的侵害。通过遵循这些约定,你可以帮助确保代码安全、保护你的公司并减少被攻击者利用的机会。
软件安全性:采用安全编码方式(转)
08-15 231
软件安全性:采用安全编码方式(转)[@more@]  本周公布的一项新的调查显示,虽然软件开发人员越来越意识到必须提高所开发程序的安全性,但是目前而言,这种意识还没有被贯彻到具体的编码工作中。   赛门铁克公司对400位在美国...
安全编码规范检查项
最新发布
晴空的博客
07-24 109
本项与技术无关的文档以清单列表的形式,定义了一套可以集成到软件开发生命周期中的通 用软件安全编码规范。采用这些规范将减少最为常见的软件漏洞。
编程开发之安全编码
u013257767的博客
01-25 288
文章目录敏感信息保护安全审计远程传输输入校验SQL处理 敏感信息保护 敏感信息 安全审计 远程传输 输入校验 SQL处理
【应用安全编码规范】---模板
莫慌的博客
11-01 1155
应用安全 编码规范
《C和C++安全编码》读书笔记(一)
Eve12345678的博客
01-22 709
第一章 夹缝求生 1.1 衡量危险 生产不安全软件系统的风险可以从历史风险和潜在的未来风险两方面进行评估。 威胁的来源:黑客、内部人员、罪犯、竞争情报从业者、恐怖分子、信息战士。 CERT/CC(美国计算机紧急事件响应小组协调中心)监控漏洞信息的公开来源,同时也经常会接到漏洞报告。漏洞信息是以CERT漏洞备忘录和US-CERT漏洞备忘录的形式公布的。许多其他组织,包括赛门铁克(Symantec)和MITRE也报告漏洞数据。目前,漏洞信息的最佳来源之一是美国国家标准与技术研究所(NIST)的全美国漏洞数据库
PHP软件安全编码规范V2.4.docx
07-30
二、PHP编码安全 6 2.1 POST/GET参数传值/字符串输入/数据入库等严格的危险字符过滤处理 6 2.1.1 说明 6 2.2.2 应对 6 2.2.3 举例 6 2.2 相关PHP的I/O操作,需要注意限制权限,文件名或目录名或内容都要做好过滤处理...
C#软件安全编码规范V2.0.docx
07-30
### C#软件安全编码规范V2.0 #### 摘要 《C#软件安全编码规范V2.0》是一份专注于C#语言在软件开发过程中如何实施基本安全编码实践的手册。此规范旨在从编码层面上提高软件安全性,而不涉及应用安全架构设计、...
软件安全编码软件安全检测培训PPT学习教案.pptx
10-06
软件安全编码与检测》 软件安全编码与检测是IT领域中至关重要的环节,它涉及到保护应用程序免受恶意攻击和确保系统稳定运行的关键措施。在2006年的全行互联网应用系统安全渗透性测试中,结果显示大部分漏洞源于...
安全编码的基本准则,安全编码开发规范。
06-29
安全编码软件开发中非常重要的一方面,涉及到数据安全、用户输入验证、数据加密、SQL注入防护、XSS攻击防护等多个方面。下面是安全编码的基本准则和开发规范: 一、输入数据验证 * 不要相信用户的任何输入数据,...
App常见漏洞及安全编码规范.pdf
05-09
高危风险:对业务数据(如:用户账号、密码、银行卡密码等等)有窃取风险或者后门;对业务核心代码存在泄露得分析或者后门;严重漏洞 中危风险:对应用代码的不符合安全开发规范,有被第三方利用的风险;对应用内部文件存在数据被读取风险 低危风险:对应用代码有安全隐患,风险低
MISRA-C2004:汽车电子软件安全编码规范解读
该规范鼓励软件开发人员在工程环境中采用特定的编程语言和编码实践,并建议选择和使用C语言的一个子集,以减少不符合规则的可能性。此外,开发者需要声明对MISRA C的符合性,并持续改进代码质量。 MISRA C的规则...
安全编程-安全输入验证
热门推荐
王浩的技术博客
10-17 1万+
在几乎所有安全的程序中,你的第一道防线就是检查你所接收到的每一条数据。如果你能不让恶意的数据进入你的程序,或者至少不在程序中处理它,你的程序在面对攻击时将更加健壮。在不得不接收输入,但是又不能相信输入的时候,最好的方法就是充分检测输入,并且确认输入的正确性,应当将输入限制在某些可接受的值范围内。   输入验证程序可分为2个主要部分:语法检查和语义检查。 语法检查主要检测输入的格式是否正确,其
安全编程: 验证输入--接收用户数据的最佳实践
leopard_ray的专栏
04-12 852
本文介绍了如何验证输入――任何安全程序的首要环节之一。 2003 年 7 月,计算机应急反应小组协调中心报告了 Microsoft Windows 的 DirectX MIDI 库中一组危险的漏洞。DirectXMIDI 库是用于播放 MIDI 格式音乐的底层 Windows 库。不幸的是,这个库没有能力去检查 MIDI 文件中的所有数据值;text、copyright 或者 MThd tr
编码安全规范
专注Java(全栈)应用开发,求知若渴,虚心若愚,talk is cheap, show me the code.
09-24 2619
编码安全规范目录概 述分析:小结:参考资料和 LD is tigger forever,CG are not brothers forever, throw the pot and shine forever. Modesty is not false, solid is not naive, treacherous but not deceitful, stay with good people, and stay away from poor people. talk is cheap, show
安全编码实践系列
Aegeaner的专栏
03-09 1314
褚诚云的信息安全专栏 http://blog.csdn.net/chengyun_chu 安全编码实践一:GS编译选项和缓存溢出 http://blog.csdn.net/chengyun_chu/article/details/1942172 安全编码实践二:NXCOMPAT选项和数据执行保护DEP http://blog.csdn.net/chengyun_chu/article/deta
输入验证(转)
weixin_30244681的博客
11-28 540
输入验证 输入验证是一个很复杂的问题,并且是应用程序开发人员需要解决的首要问题。然而,正确的输入验证是防御目前应用程序攻击的最有效方法之一。正确的输入验证是防止 XSS、SQL 注入、缓冲区溢出和其他输入攻击的有效对策。 输入验证非常复杂,因为对于应用程序之间甚至应用程序内部的输入,其有效构成没有一个统一的答案。同样,对于恶意的输入也没有一个统一的定义。更困难的是,应用程序对如...
安全性测试:输入校验规则
执笏少埋 的专栏
03-12 2009
目录目录 等级过滤规则 低级过滤的字符 中级过滤的字符 高级过滤的字符 等级过滤规则平台对所有用户提交内容进行输入验证,这些提交内容包括URL、查询关键字、post数据。平台第一步会校验URL,通过后会继续对post提交的所有数据进行校验。 校验的字符(校验时会忽略大小写,系统编码为GBK)有:Javascript:、--、空白字符and空白字符、/**/and空白字符、/**/and/**/、空
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值