随笔 - 116  文章 - 0  评论 - 11  阅读 - 30万

随笔分类 -  产品安全开发

移动应用安全开发指南(Android)--完结篇
摘要:如果IE显示格式不正常,请使用chrome浏览器 1、认证和授权 概述 认证是用来证明用户身份合法性的过程,授权是用来证明用户可以合法地做哪些事的过程,这两个过程一般是在服务器端执行的,但也有的APP出于性能提升或用户体验等原因,将其做在客户端... 阅读全文
posted @ 2015-01-13 18:57 Fish_Ou 阅读(2276) 评论(0) 推荐(3) 编辑
移动应用安全开发指南(Android)--数据验证
摘要:概述 移动应用往往通过数据的发送、接收和处理来完成一系列功能,通常情况下,处理的数据绝大部分都来源于外部(比如网络、内部或外部存储和用户输入等),对这些数据处理不当会导致各种各样的漏洞和风险,比代码执行和信息泄漏等等。 ... 阅读全文
posted @ 2015-01-09 09:48 Fish_Ou 阅读(813) 评论(0) 推荐(0) 编辑
Web安全开发指南--文件系统
摘要:6.1、上传文件功能 简要描述 文件上传漏洞是由于文件上传功能实现代码没有对用户上传的文件进行正确处理,导致允许攻击者向服务某个目录上传文件。 ... 阅读全文
posted @ 2015-01-09 09:44 Fish_Ou 阅读(536) 评论(0) 推荐(0) 编辑
Web安全开发指南--异常错误处理与日志审计
摘要:1、异常错误处理与日志审计 5.1、日志审计系统安全规则 1 日志系统能够记录特定事件的执行结果(比如 成功或失败)。 确保日志系统包含如下重要日志信息: 1、 日志发生的时间; 2、 ... 阅读全文
posted @ 2015-01-08 08:56 Fish_Ou 阅读(649) 评论(0) 推荐(0) 编辑
移动应用安全开发指南(Android)--Android组件和IPC
摘要:概述 移动应用开发中,往往有跨进程通信的需求,方便地实现程序间的数据共享。Android提供了多种IPC通信的方式,给开发人员带来了便利,但如果选择或使用不当,就有可能发生各种各样的风险。 ... 阅读全文
posted @ 2015-01-07 08:59 Fish_Ou 阅读(1020) 评论(0) 推荐(2) 编辑
移动应用安全开发指南(Android)--数据传输
摘要:概述 移动应用很多时候并非孤立存在,在多数场景下存在前、后台以及第三方服务之间进行数据交互,因此,在网络中传输敏感数据在所难免,如果不使用正确安全的传输方式,有可能存在敏感信息泄漏的风险。 ... 阅读全文
posted @ 2015-01-07 08:52 Fish_Ou 阅读(1238) 评论(0) 推荐(1) 编辑
Web安全开发指南--数据验证
摘要:1、数据验证 4.1、输入数据验证安全规则 1 数据验证必须放在服务器端进行。 2 至少对输入数据的数据类型、数据范围和数据长度进行验证。 ... 阅读全文
posted @ 2015-01-07 08:47 Fish_Ou 阅读(1251) 评论(0) 推荐(0) 编辑
移动应用安全开发指南(Android)--数据存储
摘要:1、数据存储 概述 移动应用经常需要在某些场景下(比如用户登录)处理和用户或业务相关的敏感数据,有时候为满足某些业务需求,需要把这些敏感数据存储在本地,如果不对这些数据进行适当处理,就有可能存在敏感信息泄漏的风险。 安全准则 ... 阅读全文
posted @ 2015-01-06 09:13 Fish_Ou 阅读(751) 评论(0) 推荐(1) 编辑
Web安全开发指南--会话管理
摘要:1、会话管理3.1、会话管理安全规则1避免在URL携带session id。2使用SSL加密通道来传输cookie。3避免在错误信息和调试日志中记录session id。4使用框架自带的或业界公认的安全函数来生成session id(参考附录11.4)。5开发或引入无状态的模块(比如shipin7 ... 阅读全文
posted @ 2015-01-06 09:08 Fish_Ou 阅读(1067) 评论(0) 推荐(0) 编辑
web安全开发指南--权限管理
摘要:2.1 访问控制安全规则1访问控制必须只能在服务器端执行。2只通过session来判定用户的真实身份,避免使用其它数据域的参数(比如来自cookie、hidden域、form和URL参数等)来做访问控制。3对web/应用服务器进行安全配置以防止用户对静态文件的无鉴权访问(参考附录11.6)。4对每一... 阅读全文
posted @ 2015-01-04 08:52 Fish_Ou 阅读(746) 评论(0) 推荐(0) 编辑
web安全开发指南--认证
摘要:1、认证 1.1、 认证和密码管理安全规则 1 认证控制必须只能在服务器端执行。 2 除了指定为公开的资源,对所有其它资源的访问都必须先经过认证。 ... 阅读全文
posted @ 2014-12-31 18:31 Fish_Ou 阅读(1309) 评论(0) 推荐(0) 编辑
常见软件安全漏洞样例代码
摘要:缓冲区溢出: 1 Example1.1: 2 ... 3 char buf[BUFSIZE]; 4 gets(buf);//user control 5 ... 6 7 Example1.2(c++): 8 ... 9 char buf[B... 阅读全文
posted @ 2014-12-11 20:52 Fish_Ou 阅读(1388) 评论(0) 推荐(0) 编辑

< 2025年2月 >
26 27 28 29 30 31 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 1
2 3 4 5 6 7 8

点击右上角即可分享
微信分享提示