安全软件开发入门(教程).docVIP

软件安全问题的根源：内因：软件有错误????????* 脆弱点????????????????* 缺陷(设计层)????????????????* Bug(实现层)????????* 软件开发方法存在问题外因：软件的运行环境????????* 网络对软件的发展产生了巨大的影响（负面居多）外部环境：黑客、恶意代码内部环境：误操作、报复、经济犯罪7+1的软件安全问题领域：1.输入验证和表示法2.滥用API3.安全特性4.时间和状态5.错误处理6.代码质量7.封装*.环境1.输入验证和表示法输入验证和表示问题由元字符、替换编码、数字表示法引起。如果选择使用输入验证，那么就要使用白列表、而不是黑列表。由于轻信输入而造成的大问题包括：缓冲区溢出、跨站脚本攻击、SQL注入、缓存毒药和其它脚本小子们非常轻易吃到的“低挂的果实”（这里只安全性较低的软件设计）。2.滥用APIAPI规定了调用者和被调用程序之间的使用约定。滥用API的常见模式是由调用者错误地信任被调用方造成的。例如，调用者希望从被调用程序那里返回获取用户信息，而被调用程序并没有任何的安全性保证其信息的可靠性。于是调用者就假定了调用程序返回数据的正确性和安全性。当然，也存在“坏人”有意破坏调用者-调用程序之间约定的行为。3.安全特性软件安全不是安全软件。世界上所有的加密