作者Zilch (没回就是挂站…)
看板Soft_Job
标题Re: [闲聊] 丢个资安议题..
时间Sat Jun 30 01:33:25 2007
※ 引述《yaerse (寂寞时就拥着书本吧)》之铭言:
[delete]
: 切入正题..
: 我想在学校里..都会教怎麽写程式..
: 但学到如何写好程式似乎就得要靠机运了..
: (机运是指好的老师..好的前辈..好的书籍..)
: 而好的程式应该有很多构面..小弟在这里想丢出一个议题..
: 如何撰写一个安全的程式..而不是会有漏洞..让骇客可以趁虚而入..
: 因小弟的程式功力不强..只能写基本会跑的程式..
: 但对这方面完全没有任何的sense..
: 希望有那位大大肯指点分享一下..:)..
难得看到资安议题抛砖引玉一下
//其实工作不是在写程式…疏漏之处请大家多多补充
我个人觉得最重要的还是验证使用者输入的任何资料
这包含限制、过滤使用者只能输入该栏位预期的字元和长度
(例如身份证号码第一码只能是英文,後九码只能是数字
总共就是10码不能少也不能多)
或读取、写入系统上的档案功能不能有 ../ 之类的特殊字元
让系统可能存取到不该读到或写入的档案
类似这样的情况
尤其如果是 web services
必须在 server 端收到资料时过滤(或在此时作第二次过滤)
因为 client 端例如 java script 的限制都是可以绕过的
虽然如何撰写安全的程式和弱点也许不见得直接相关,
不过像是特别针对 web services 的 OWASP Top10
前阵子刚发表了 2007 版也可以参考一下
http://tinyurl.com/24v9ee
(
http://www.owasp.org/index.php/Taiwan#.E6.9C.80.E6.96.B02007.E5.B9.
B4OWASP.E5.8D.81.E5.A4.A7Web.E8.B3.87.E5.AE.89.E6.BC.8F.E6.B4.9E_.
282007_OWASP_Top_10.29 )
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 220.135.85.142