2021-05-19软件编码安全简要记录

最新推荐文章于 2023-04-30 10:43:07 发布
最新推荐文章于 2023-04-30 10:43:07 发布
阅读量128 收藏
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiangtt3210/article/details/117019353
版权

安全篇

sql注入:不要信任用户输入,正则校验($ -> #传递参数),限制长度,对单引号和双-进行转换等; 不要动态拼装sql;不使用管理员权限连接数据库;敏感信息加密存放。 (测试扫描工具burpsuite)

DOS攻击:使用WSF的访问控制能力,控制接口调用频次,是否有耗费大量资源的请求,限制并发数。 (利用tcp[三次握手]协议缺陷,发送大量半连接[收到SYN包未收到ACK包]请求,耗费cpu和内存资源)

XSS注入[跨站脚本攻击]:默认禁止使用trustAs和getTrusted系列方法,默认禁止业务代码进行dom,js,css的拼接操作,参考安全SDK防范进行输出编码,用户输入限制

命令注入;脚本注入等,均需要对输入格式,字符规范等做限制,如xml转义符尖括号,单双引号,逗号等。

横向越权:用户可访问无权限数据,如跨项目访问。
众向越权:同一个接口被多个服务调用时会存在众向越权,建议使用不同接口。

文件上传下载:绝对路径不能暴露,临时文件要清理,文件大小,类型[后缀]要校验,文件路径归一化。

日志记录:记录用户操作日志及关键信息。logger中参数不能为e,建议使用e.printStackTrace代替e.toString和e.getMessage

敏感数据:严禁硬编码、明文存储,日志禁止打印口令,私钥,密钥等,关键信息如密码的加密处理等。

权限最小化原则。
外部输入校验白名单,确保数据合法性。
资源释放,如io

CSRF攻击,非get类请求默认启用CSRF防护,get类请求是否涉及敏感数据的传输或者关键操作,接口请求类型要规范。防御措施:验证http referer字段,在请求地址中添加token并验证,在http头中自定义属性并验证。

其他安全问题:异常行为,线程同步,序列化与反序列化,平台安全,加密算法,伪随机数等。

向天天
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP软件安全编码规范V2.4.docx
07-30
目 录 1 PHP接口安全 4 1.1 指定公布给外部的资源,客户端只能访问允许访问的资源 4 1.1.1 说明 4 1.1.2 应对 4 1.1.3 举例 4 1.2 定义所有接口的参数,并做严格的检查 5 1.2.1 说明 5 1.2.2 应对 5 1.2.3 举例 5 1.3 不能让客户端看到任何不友好的错误信息 5 1.3.1 说明 5 1.3.2 应对 5 1.3.3 举例 5 二、PHP编码安全 6 2.1 POST/GET参数传值/字符串输入/数据入库等严格的危险字符过滤处理 6 2.1.1 说明 6 2.2.2 应对 6 2.2.3 举例 6 2.2 相关PHP的I/O操作,需要注意限制权限,文件名或目录名或内容都要做好过滤处理 8 2.2.1 说明 8 2.2.2 应对 8 2.2.3 举例 8 2.3 敏感信息(如PASSWORD/银行帐号等)不要依赖COOKIE,SESSION,最好读表,并尽量缓存读表数据 8 2.3.1 说明 8 2.3.2 应对 9 2.3.3 举例 9 2.4 注意对网站根目录及下面所有子目录及文件的权限控制与保护,不要让配置文件/系统信息等文件暴露 10 2.4.1 说明 10 2.4.2 应对 10 2.4.3 举例 10 2.5 屏蔽或定制化出错信息 10 2.5.1 说明 10 2.5.2 应对 11 2.5.3 举例 11 2.6 数据库的读取等操作、POST/GET传值需要做频率限制与Token校验 11 2.6.1 说明 11 2.6.2 应对 11 2.6.3 举例 11 2.7 有类似文件下载/或文本流下载等功能的,尽量避免使用URL直接调用目标文件地址的方式 12 2.7.1 说明 12 2.7.2 应对 12 2.7.3 举例 12 2.8 MYSQL 的用户最好分开,不要用ROOT用户来连接MYSQL 13 2.8.1 说明 13 2.8.2 应对 13 2.8.3 举例 13 3 参考内容 13
电子书籍-Linux命令大全搜索工具
03-26
19. **arpwatch (监听网络上ARP的记录)** - **用途**:监控网络上ARP请求和响应活动。 - **应用场景**:检测潜在的ARP欺骗攻击。 20. **as (汇编语言编译器)** - **用途**:将汇编语言源代码编译为机器码。 - *...
软件安全性:采用安全编码方式(转)
08-15 215
软件安全性:采用安全编码方式(转)[@more@]  本周公布的一项新的调查显示,虽然软件开发人员越来越意识到必须提高所开发程序的安全性,但是目前而言,这种意识还没有被贯彻到具体的编码工作中。   赛门铁克公司对400位在美国...
软件测试与代码安全详解
程序员哆啦A梦,蓝胖子
05-29 2696
前言本人学习软件测试收获不少,于是便记录下来自己的思路与知识总结,重温自己的探索之路。初学开始学习软件测试,那么什么是软件测试,软件测试很重要吗?当然重要,这是毫无疑问的。那么开始学习,我们需要了解软件测试的基本概念,方法,常用测试工具(测试的时候需要,可以大大提高效率),学习测试,我们可以了解到常见的软件架构。如:B/S,C/S等,这里我比较了解B/S,因为我测试过。我们在学习软件测试时需要了解...
安全编码技能对于解决嵌入式软件安全问题至关重要
qq_40234985的博客
09-07 231
在工业和消费环境中,通过连接设备听到安全漏洞和黑客攻击似乎很常见。我们从销售安全解决方案(无论是硬件还是软件)的供应商那里听到的一个共同主题是,安全通常是嵌入式系统开发过程中的事后考虑,或者他们的设计团队没有足够的安全专业知识,特别是在拥有实施安全的正确知识和技能。 我们最近强调了尽管连接设备的巨大增长,但物联网 (IoT) 设备的安全性却被忽视了。解决这个问题的一个关键部分是开发安全的嵌入式代码,正如 Secure Code Warrior 的联合创始人兼首席技术官 Matias Madou 最近指出的那
2021-2022计算机二级等级考试试题及答案No.1795.docx
10-30
根据提供的文档内容,我们可以总结和扩展以下几个IT领域的知识点...- **补充**:由于题目未给出完整信息,这里简要提及 PowerPoint 的一些常见使用技巧,例如使用母版页来统一幻灯片样式、利用动画效果增强演示效果等。
2021-2022计算机二级等级考试试题及答案No.1063.docx
10-25
先进的软件开发工具和环境:提供更高效的编码、调试、测试等功能,显著提升开发效率。 - C. 程序员的数量:人数多并不一定意味着效率高,关键在于团队协作和技术水平。 - D. 计算机的并行处理能力:虽然有助于...
2021-2022计算机二级等级考试试题及答案No.13193.docx
10-27
ASCII码是一种基于拉丁字母的一套电脑编码系统,它主要用于显示现代英语和其他西欧语言。 #### 题目16:C语言函数递归 - **问题描述**:给出一段C语言代码,并询问其输出结果。 - **正确答案**:B - **知识点解析**...
PT80-NEAT开发指南v1.1
06-24
版本记录 版本号 版本描述 发布日期 V 1.0 初始版本。 2012-04-12 V1.1 修改前三章内容 2012-09-25 目录 第一章 关于本手册........................................................................................
软件安全_安全代码原则和实践
03-20
软件安全_安全代码原则和实践,好东西啊,程序员都应该看看
App常见漏洞及安全编码规范.pdf
05-09
高危风险:对业务数据(如:用户账号、密码、银行卡密码等等)有窃取风险或者后门;对业务核心代码存在泄露得分析或者后门;严重漏洞 中危风险:对应用代码的不符合安全开发规范,有被第三方利用的风险;对应用内部文件存在数据被读取风险 低危风险:对应用代码有安全隐患,风险低
软件界面设计及编码标准规范
11-18
软件界面设计及编码标准规范软件界面设计及编码标准规范
安全编码实践
qq2007xia的专栏
06-08 2494
转自: http://www.uml.org.cn/safe/201212174.asp 安全编码实践   作者:chengyun_chu,发布于2012-12-17, 来源:CSDN   目录: 安全编码实践之一:GS编译选项和缓存溢出 安全编码实践之二:NXCOMPAT选项和数据执
安全编码导引(1)——安全编码的重要性
LIUWEIqqq的专栏
09-02 1052
安全编码系列第一篇,欢迎大家一起讨论交流。
软件安全编码
qq_53633989的博客
04-30 139
强输入验证白名单黑名单间接选择避免黑名单不要混淆可用性和安全性拒绝不良数据默认执行正确的输入验证检查输入长度限制数值输入。
安全编码实践:什么是安全编码标准?
Trinity_Techologies的博客
04-18 4042
安全编码实践和安全编码标准至关重要,因为高达90%的软件安全问题是由编码错误引起的。 在这里,我们将阐释什么是安全编码标准,哪些是您应该执行的安全编码实践,以及如何实施安全标准。
Java编码安全规范
qq_38056704的博客
01-16 6353
简述:入职菊厂第一周,没什么任务,正全力准备java安全编码考试,跟阿里规范类似,不过要多很多安全攻防的内容和一些之前没注意的知识点,所以记录分享自己学到的经验 断言滥用 断言应该只存在于测试类,而不应该出现在业务代码之中。因为断言是可以被关掉的!!也就是如果你业务代码里用到断言去校验一个参数的状态,断言如果被关掉,你这段代码就是跳过执行成为漏洞。 Java断言的开启关闭和初步使用_jjj03230304的博客-CSDN博客_java 禁用断言1 说明  java断言assert是jdk1.4引入的。
贴标机(双滑台式)_机械3D图可修改打包下载.zip
最新发布
08-17
贴标机(双滑台式)_机械3D图可修改打包下载.zip
软件质量与测试相关的论述题,举出20个并详细回答
06-12
很抱歉,我不能一次性回答20个问题,因为这需要较长的时间和大量的文字。但是,我可以举出一些常见的软件质量与测试相关的论述题,并为您提供简要的回答。希望这些题目能够帮助您更好地理解软件质量与测试的概念。 1. 软件质量是什么?如何衡量软件质量? - 软件质量是指软件产品满足用户需求和期望的程度。可以通过功能性、可靠性、易用性、效率、可维护性、可移植性等方面来衡量软件质量。 2. 什么是软件测试?为什么需要测试? - 软件测试是指在软件开发过程中,通过运行软件并对其进行分析、评估和验证,以发现和修复软件缺陷的过程。需要测试的原因是确保软件质量、避免缺陷引起的严重后果、提高软件可靠性和稳定性。 3. 软件测试的分类有哪些? - 软件测试可以分为黑盒测试和白盒测试两类。黑盒测试是指测试人员只关注软件功能,而不考虑其内部实现细节;白盒测试则是基于软件的内部结构和代码来进行测试。 4. 请解释软件缺陷、错误和故障的概念。 - 软件缺陷是指程序中的错误或缺陷,可能导致程序执行不正常;软件错误是指程序员在编写代码时犯下的错误;软件故障是指软件在运行时发生的错误或问题。 5. 请列出一些常见的软件测试技术。 - 常见的软件测试技术包括黑盒测试、白盒测试、灰盒测试、自动化测试、性能测试、安全测试、可靠性测试等。 6. 请解释软件开发生命周期中的测试活动。 - 软件开发生命周期中的测试活动包括需求分析测试、设计测试、编码测试、集成测试、系统测试、验收测试和维护测试。 7. 什么是测试计划?测试计划中包含哪些内容? - 测试计划是指为了达到特定的测试目标而制定的计划。测试计划中包含测试目标、测试策略、测试资源、测试进度、测试风险、测试环境、测试方法、测试文档等内容。 8. 请解释测试用例和测试场景的概念。 - 测试用例是指针对特定的软件功能或业务流程而创建的测试场景。测试场景则是指一组测试用例,用于验证软件是否满足特定的功能或业务流程要求。 9. 请解释缺陷跟踪和缺陷管理的概念。 - 缺陷跟踪是指在测试过程中记录、跟踪和管理缺陷的过程。缺陷管理则是指在软件生命周期中管理和解决缺陷的过程。 10. 请解释软件质量保证和软件质量控制的概念。 - 软件质量保证是指在软件开发生命周期中采用一系列的技术和方法来确保软件质量。软件质量控制则是指在软件开发过程中对软件质量进行监控和调整,以便及时发现和纠正软件质量问题。 11. 请解释软件评审和软件审计的概念。 - 软件评审是指在软件开发过程中,通过检查和审查软件文档、代码和其他成果,以确保软件质量和符合标准的过程。软件审计则是指对软件开发过程中的质量管理活动进行独立审查的过程。 12. 请解释测试覆盖率的概念。 - 测试覆盖率是指对软件进行测试时,测试用例覆盖软件代码或功能的程度。它可以帮助测试人员了解测试的完整性和有效性,并找到测试用例的缺陷和不足之处。 13. 请解释回归测试的概念。 - 回归测试是指在软件修改或更新之后,对已测试过的功能或模块重新进行测试的过程。回归测试的目的是确保修改或更新不会对软件的其他部分造成影响。 14. 请解释测试驱动开发(TDD)的概念。 - 测试驱动开发是一种敏捷软件开发方法,它要求在编写软件代码之前先编写测试代码,并在测试代码通过后再编写实现代码。这样可以确保软件的代码质量和测试覆盖率,并减少软件缺陷的数量。 15. 请解释持续集成和持续交付的概念。 - 持续集成是指在软件开发过程中,将开发人员的代码集成到主干代码库中,并对代码进行自动化测试和构建的过程。持续交付则是指在软件开发过程中,将软件交付到生产环境,以便用户或客户进行测试和使用。 16. 请解释敏捷测试的概念。 - 敏捷测试是一种敏捷开发方法的测试实践,它要求测试人员与开发人员紧密合作,以便及早发现和解决软件缺陷。敏捷测试注重快速反馈、持续集成和自动化测试等方面。 17. 请解释性能测试和压力测试的概念。 - 性能测试是指测试软件在不同负载下的性能表现,以便发现性能瓶颈和优化软件性能的过程。压力测试则是指测试软件在高负载下的稳定性和可靠性,以便发现软件崩溃或故障的点。 18. 请解释功能性测试和非功能性测试的概念。 - 功能性测试是指测试软件是否满足用户需求和功能规格说明书的要求。非功能性测试则是指测试软件的性能、安全、可靠性、易用性、可维护性等方面的特性。 19. 请解释自动化测试和手工测试的概念。 - 自动化测试是指使用自动化测试工具和脚本来执行测试用例的过程。手工测试则是指测试人员手动执行测试用例和记录测试结果的过程。 20. 请解释单元测试和集成测试的概念。 - 单元测试是指对软件中的单个模块或组件进行测试的过程。集成测试则是指将多个模块或组件组合在一起进行测试,以验证它们之间的交互和兼容性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值