※ 引述《yaerse (寂寞时就拥着书本吧)》之铭言： [delete] : 切入正题.. : 我想在学校里..都会教怎麽写程式.. : 但学到如何写好程式似乎就得要靠机运了.. : (机运是指好的老师..好的前辈..好的书籍..) : 而好的程式应该有很多构面..小弟在这里想丢出一个议题.. : 如何撰写一个安全的程式..而不是会有漏洞..让骇客可以趁虚而入.. : 因小弟的程式功力不强..只能写基本会跑的程式.. : 但对这方面完全没有任何的sense.. : 希望有那位大大肯指点分享一下..:).. 难得看到资安议题抛砖引玉一下 //其实工作不是在写程式…疏漏之处请大家多多补充 我个人觉得最重要的还是验证使用者输入的任何资料 这包含限制、过滤使用者只能输入该栏位预期的字元和长度 (例如身份证号码第一码只能是英文，後九码只能是数字 总共就是10码不能少也不能多) 或读取、写入系统上的档案功能不能有 ../ 之类的特殊字元 让系统可能存取到不该读到或写入的档案 类似这样的情况 尤其如果是 web services 必须在 server 端收到资料时过滤(或在此时作第二次过滤) 因为 client 端例如 java script 的限制都是可以绕过的 虽然如何撰写安全的程式和弱点也许不见得直接相关， 不过像是特别针对 web services 的 OWASP Top10 前阵子刚发表了 2007 版也可以参考一下 http://tinyurl.com/24v9ee ( http://www.owasp.org/index.php/Taiwan#.E6.9C.80.E6.96.B02007.E5.B9. B4OWASP.E5.8D.81.E5.A4.A7Web.E8.B3.87.E5.AE.89.E6.BC.8F.E6.B4.9E_. 282007_OWASP_Top_10.29 ) --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 220.135.85.142