Re: [閒聊] 丟個資安議題..

看板Soft_Job (軟體人)作者Zilch (沒回就是掛站…)時間17年前 (2007/06/30 01:33)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串3/3 (看更多)

※ 引述《yaerse (寂寞時就擁著書本吧)》之銘言： [delete] : 切入正題.. : 我想在學校裡..都會教怎麼寫程式.. : 但學到如何寫好程式似乎就得要靠機運了.. : (機運是指好的老師..好的前輩..好的書籍..) : 而好的程式應該有很多構面..小弟在這裡想丟出一個議題.. : 如何撰寫一個安全的程式..而不是會有漏洞..讓駭客可以趁虛而入.. : 因小弟的程式功力不強..只能寫基本會跑的程式.. : 但對這方面完全沒有任何的sense.. : 希望有那位大大肯指點分享一下..:).. 難得看到資安議題拋磚引玉一下 //其實工作不是在寫程式…疏漏之處請大家多多補充我個人覺得最重要的還是驗證使用者輸入的任何資料這包含限制、過濾使用者只能輸入該欄位預期的字元和長度 (例如身份證號碼第一碼只能是英文，後九碼只能是數字總共就是10碼不能少也不能多) 或讀取、寫入系統上的檔案功能不能有 ../ 之類的特殊字元讓系統可能存取到不該讀到或寫入的檔案類似這樣的情況尤其如果是 web services 必須在 server 端收到資料時過濾(或在此時作第二次過濾) 因為 client 端例如 java script 的限制都是可以繞過的雖然如何撰寫安全的程式和弱點也許不見得直接相關，不過像是特別針對 web services 的 OWASP Top10 前陣子剛發表了 2007 版也可以參考一下 http://tinyurl.com/24v9ee ( http://www.owasp.org/index.php/Taiwan#.E6.9C.80.E6.96.B02007.E5.B9. B4OWASP.E5.8D.81.E5.A4.A7Web.E8.B3.87.E5.AE.89.E6.BC.8F.E6.B4.9E_. 282007_OWASP_Top_10.29 ) -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.135.85.142