5.安全程序设计---输入安全.pdf

  1. 1、本文档共101页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
5.安全程序设计---输入安全

安全程序设计 安全程序设计 输入安全 一切输入都是有害的! 1 安全程序设计 输入的问题 v安全规则: § 在对数据验证之前,不能相信他们,否则会受攻 击;即所有数据在被证实之前,都是有害的 § 数据在通过不可信任环境和可信任环境的边界时, 必须经过验证。 § 可信任数据:你或者你信任的实体,对其具有完全 控制的数据 2 HIT-computer science 安全程序设计 v安全性问题的产生 § 代码分布:程序分布于客户端和服务器端,或对 等机器上 § 输入验证部位:开发人员依赖应用程序的客户部分 来提供特定的检验 § 信任缺陷:客户和服务器间不能相互信赖 3 HIT-computer science 安全程序设计 v下面的代码更安全,降低了对外界的信任程度 4 HIT-computer science 安全程序设计 防御输入攻击的策略 v应遵循的策略 § 为应用程序定义信任边界 § 创建输入阻塞点 阻塞点:数据源如web,注册表,文件系统,配置 文件,等 § 应重点防范可重用组件,如DLL,ActiveX控件 5 HIT-computer science 安全程序设计 6 HIT-computer science 安全程序设计 如何检查合法性 v原因 § 可能有多种合法表示数据的方式 § 可能遗漏 种非法的数据模式 v遵循的规则 § 寻找合法数据,拒绝所有其他数据 7 HIT-computer science 安全程序设计 8 HIT-computer science 安全程序设计 9 HIT-computer science 安全程序设计 v正确的代码:检查文件名是否是合法、安全的 扩展名,拒绝所有其他的扩展名 10 HIT-computer science 安全程序设计 11

文档评论(0)

yan698698 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档