《安全编程:代码静态分析》——读书笔记

最新推荐文章于 2021-11-17 11:52:55 发布
最新推荐文章于 2021-11-17 11:52:55 发布
阅读量1.4k 收藏 3
点赞数 2
分类专栏: 学习笔记 文章标签: 代码静态分析 读书笔记 安全编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wang545054788/article/details/90794755
版权
本文是《安全编程:代码静态分析》一书的读书笔记,重点关注输入合法性、缓冲区溢出、错误处理及强安全API。强调了建立可信边界、避免整数溢出、使用动态保护手段等策略,同时探讨了错误处理的最佳实践,如合理使用返回值和前向goto语句。
摘要由CSDN通过智能技术生成

最近在学代码静态分析相关的内容,就阅读了这本书,因为时间有限读得比较快速,并且第三章内容跟目前实验室关系不大所以直接跳过,选择了一些对我自己比较有意义的点做了记录。

关于输入合法性

本章讲到程序员应该保持一种怀疑一切输入正确合法性的态度。不仅仅是来自用户的输入,程序代码之外的任何资源文件都应该被怀疑。

通常需要验证的输入包括

  • 配置文件

程序的配置文件一旦被恶意修改,而程序员在使用的时候默认其合法,就可能会对整个程序造成巨大的灾难。

Apache1.3.29的mod_regex模块包含了一个缓冲区溢出漏洞,导致这个漏洞的原因是程序员过分相信自己的程序配置。

  • 数据库查询

程序员通常也会默认数据库来的数据是合法的,但实际上恶意攻击者可能使数据库的部分功能失效,比如使数据库中存在key值相同的两行,从而伪造一些数据。所以程序应该在读取数据库之以后对结果进行合法性检查。

  • 网络服务

毋庸置疑,网络数据是不可信的。但是网络数据不仅仅局限于来自网上用户的数据,有时候程序员会忘记网络服务是不可信的,例如DNS服务器和IP地址。一定不能依赖DNS服务或者IP地址进行认证。

OS X操作系统曾经的软件更新程序运行只通过发送一个简单的“GET“请求来调用swscan.apple.com网站上的数据,这种不尽行认证的方式使得其他人伪装成Apple的服务器非常容易

  • 命令行参数
最低0.47元/天 解锁文章
ZenoW
关注
专栏目录
安全编程代码静态分析
07-18
很好的一本书,教人审计代码进行漏洞挖掘,老外写素质还是可以的
安全编程代码静态分析笔记
fxxysh的博客
08-11 838
P157:缺少无符号类型是JAVA语言的一个缺点
静态代码分析
小航哥的博客
07-13 916
静态程序分析 先来说说什么是“静态程序分析(Static program analysis)”,静态程序分析是指使用自动化工具软件对程序源代码进行检查,以分析程序行为的技术,应用于程序的正确性检查、安全缺陷检测、程序优化等。它的特点就是不执行程序,相反,通过在真实或模拟环境中执行程序进行分析的方法称为“动态程序分析(Dynamic program analysis)”。 那在什么情况下需要进行
静态时序分析学习书籍 纯英文
12-07
静态时序分析纳米设计实用教程 各种dc约束 以及常见电路时序分析
C/C++安全编程规范及一些代码静态安全检测工具
Manketon的专栏
09-07 3131
C/C++安全编程规范及一些代码静态安全检测工具
Day7:Vue入门学习——传智播客学习笔记【微服务电商】
weixin_43895667的博客
02-21 1143
本节依旧是前端内容,但还是了解一下基础的入门知识 学习目标 会创建Vue实例,知道Vue的常见属性 会使用Vue的生命周期的钩子函数 会使用vue常见指令 会使用vue计算属性和watch监控 会编写Vue组件 掌握组件间通信 0. 前言 前几天我们已经对后端的技术栈有了初步的了解、并且已经搭建了整个后端微服务的平台。接下来要做的事情就是功能开发了。但是没有前端页面,我们肯定无从下手,因此今天我们...
java多线程编程概述_Java多线程编程核心技术(高洪岩)——阅读笔记
weixin_39699670的博客
02-24 203
第一章 Java多线程技能实现多线程的方式:继承Thread类实现Runnable接口执行start()方法的顺序不代表线程启动的顺序构造函数Thread(Runnable target)不光可以传入Runnable接口的对象,还可以传入一个Thread类的对象,这样做完全可以将一个Threa对象中的run()方法交由其他线程进行调用在某些JVM中,i--的操作要分成如下3步:取得原有i值计算i-...
JAVA学习笔记第七天——示例代码Day07
07-19
在"JAVA学习笔记第七天——示例代码Day07"的压缩包中,你可以找到相关的示例代码,包括这些概念的实际应用。通过阅读和实践这些代码,你将更深入地理解访问修饰符、final关键字、接口以及接口和类的关系在实际编程中...
JAVA学习笔记——面向对象编程:继承1
weixin_43410001的博客
04-05 487
目录类、超类和子类超类和子类覆盖方法子类构造器多态方法的调用过程阻止继承:final 类和方法强制类型转换抽象类受保护访问Object 类:所有类的超类equals 方法hashCode 方法toString 方法 类、超类和子类 超类和子类 关键字 extends 表明正在构造的新类派生于一个已存在的类。已存在的类称为超类 (superclass)、基类 (base class) 或父类 (parent class);新类称为子类 (subclass)、派生类 (derived class) 或孩子类 (
程序静态分析介绍
大草的博客
11-17 1510
程序静态分析介绍
优秀开源项目之Shift-etl,从此告别无意义加班
qq_40051751的博客
10-16 453
前言 这是一个简单轻量的ETL(Extract-Transform-Load)工具,简单到您花5到10分钟的时间读完这篇文章便可以了然它的使用方法,如果你有数据接口对接的业务场景,你可以参考它。 它会以数据库配置的方式,帮助你实现数据接口对接,减少重复编码的工作量,同时可以随时灵活调整、降低后续业务调整带来的影响。 它的核心代码只有三页,分别是EtlExtractService (数据抽取类)、EtlProcessService (数据处理类)、EtlLoadService (数据加载类); 然后这是它的g
C++ goto语句的使用
yolo_yyh的博客
07-19 624
简介: 关于goto语句的使用,之前只知道goto可以跳转到对应的语句块,可以向前跳转,也可以向后跳转,但即使没有goto,执行到对应的语句块,该语句块也会继续执行。 测试代码: int main() { size_t lem = 1; if (lem == 0) goto f; std::cout << " begin" << std::endl; f: lem *= 4; std::cout <&l.
代码静态分析
chenkaifang的博客
07-28 3005
1、简介 静态测试包括代码检查、静态结构分析代码质量度量等。它可以由人工进行,充分发挥人的逻辑思维优势,也可以借助软件工具自动进行。代码检查代码检查包括代码走查、桌面检查、代码审查等,主要检查代码和设计的一致性,代码对标准的遵循、可读性,代码的逻辑表达的正确性,代码结构的合理性等方面;可以发现违背程序编写标准的问题,程序中不安全、不明确和模糊的部分,找出程序中不可移植部分、违背...
三款主流静态代码安全检测工具比较
热门推荐
whatday的专栏
01-07 6万+
静态代码安全检测工具比较 1. 概述 随着网络的飞速发展,各种网络应用不断成熟,各种开发技术层出不穷,上网已经成为人们日常生活中的一个重要组成部分。在享受互联网带来的各种方便之处的同时,安全问题也变得越来越重要。黑客、病毒、木马等不断攻击着各种网站,如何保证网站的安全成为一个非常热门的话题。 根据IT研究与顾问咨询公司Gartner统计数据显示,75%的黑客攻击发生在应用层。而
【嵌入式面试题】goto理解,void类型和void* 的用法
CodeAllen嵌入式
05-26 5万+
我们可以认为void就是一张白纸可以在上班写任何类型的数值。记得上学的时候老师说goto使用的基本原则是:不用goto。goto实现判断函数的基本使用。
C/C++ goto 语句
uncle103的博客
07-12 1136
注:以下代码仅用于学习交流,请勿用于商业用途 Authors: yjljobrequest@163.com 01 "声明狼藉"的goto 语句 02 goto 语句 使用的集中场景 01 "声明狼藉"的goto 语句 goto语句的经常被贬斥为一种糟糕的编程方式,大学课程c语言课程中讲师这样称道,教科书很少见到goto语句的考题,甚至工程实践中也少见此类源码 有限的使用goto语句,可以提高代...
Java编程:学习笔记——有返回值的方法与异常处理
"Java学习笔记,包含了Java编程中的一些关键概念和常见异常处理。" Java是一种广泛使用的面向对象的编程语言,其语法严谨且具有高度的可移植性。在Java中,方法是代码块,用于执行特定任务。方法可以带有返回值,也...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值