• 1. 软件设计师的安全自我修养YES WE CAN!
  • 2. About Me
  • 3. 目录安全背景与发展软件开发人员与安全的关系安全的软件开发方法光明之路 一二三四
  • 4. 安全背景与发展90年代,各种单机病毒 90年代末中国互联网开始在各城市推进,www飞速发展,有部分人开始接触了黑客技术 2001年以后,中国黑客技术圈快速壮大,各种安全联盟,BBS人气爆棚,现在国内的很多安全专家都是从那时候开始接触安全的 2006年之后,联盟衰落,技术交流开始小众,黑客从兴趣到商业利益转变 2008年后,互联网公司对安全需求旺胜
  • 5. 安全背景与发展
  • 6. 安全背景与发展
  • 7. 防火墙已成为基础的网络组件,但传统的防火墙并不能解决WEB层的各类安全问题安全背景与发展
  • 8. 安全背景与发展
  • 9. Waf相对于WEB应用的作用就像传统防火墙对于网络的作用,必不可少的防护措施安全背景与发展
  • 10. 软件开发人员与安全的关系周五晚上被人提交了一个WEB应用的高风险问题,你说多苦逼?
  • 11. 软件开发人员与安全的关系
  • 12. 软件开发人员与安全的关系
  • 13. 软件开发人员与安全的关系
  • 14. SQL注入软件开发人员与安全的关系
  • 15. 软件开发人员与安全的关系
  • 16. 软件开发人员与安全的关系
  • 17. All input must be validated against a whitelist of acceptable value ranges. 软件开发人员与安全的关系
  • 18. 掌握常见的应用安全问题安全的软件开发方法
  • 19. 所有输入都是不可信的,必须严格限制 从用户端输入最终又输出到用户端的变量内容会存在典型的XSS,需要对输出的内容进行HTML编码 默认拒绝:默认的访问策略建立在允许的基础上。也就是说,默认的访问是拒绝的,除非标明是允许的。 使用白名单优先于黑名单的机制,明确被允许的输入,而避免bypass 最小权限原则:应用系统设计涉及到权限的部分应充分考虑权限最小原则,并防范水平越权与垂直越权 形成自己的安全编码实践,将已知安全问题整理checklist,并形成一套规范化的预防办法 在代码中避免硬编码账号和密码 重要的管理操作要支持操作日志记录 避免调用危险的函数 重要数据的传输要采用HTTPS 避免在生产环境开启调试模式 加密存储重要数据,对涉及用户敏感信息的应该在公司范围内启动统一的加密存储服务 账号功能需要考登录、注册、密码策略等功能上的安全问题,比如撞号、暴力破解、任意密码重置 使用第三方组件要慎重 预防胜于检查安全的软件开发方法
  • 20. 安全的软件开发方法
  • 21. 安全的软件开发方法
  • 22. 图 1. SDL 具有功能和成熟度水平的 SDL 优化模型安全的软件开发方法
  • 23. 安全的软件开发方法
  • 24. 安全的软件开发方法
  • 25. 安全的软件开发方法前述内容并不一定完全适用,请跟据自身情况进行裁剪
  • 26. 程序员安全技术自修 光明之路
  • 27. 推荐阅读: OWASP安全编码规范快速参考指中文版下载 owasp 应用安全架构项目 OWASP Top 10 2013 -V1.2 OWASP Testing Guide v3 OWASP Top 10 for .NET developers OWASP_Code_Review_Guide-V1_1 Microsoft SDL 的简化实施
  • 28. 光明之路