3
我工作的公司正在重新开发外部使用的内部产品。针对恶意攻击的防御性编程
该产品最初将在C#中使用WPF开发,然后移植到Silverlight。
其中一个焦点是针对恶意攻击进行编码,例如, SQL注入等
问题:
- 谁能推荐指着安全“最佳实践”文章的网址。
- 任何人都可以推荐分析工具来分析代码来识别弱点。如果可能,我们会将该工具包含在我们的持续集成脚本中。
A
回答
1
尝试MSDN上的以下文章:Security (How Do I in C#)。
3
我发现最好的资源是在这里:
http://www.owasp.org/index.php/Main_Page
在该网站,我会从这里开始:
http://www.owasp.org/index.php/Top_10_2007
前10位的网站漏洞,但这些概念适用于所有类型的应用程序。以我个人的观点来看,在学习安全编码方面,你真的无法从起点上做得更好。
本网站提供了最佳实践和工具,并且无论您的技能水平如何,都可以让所有内容都可以理解。
*增加*
另一个很好的资源是MSDN文档,因为你的问题被标记为C#。
1
我想首先是安全发展就意味着三个步骤:
识别和理解大局:什么可能出错
这意味着理解一个漏洞的技术方面,以及它如何帮助制造事情出错了。
通常情况下,我会使用OWASP的前10个Web应用程序安全漏洞(google:owasp top 10 2007)。
如果你不明白的话,那么请指点。理解这样的文档并不直接告诉你如何构建安全代码,但它是你对安全开发理解水平的一个很好的指标。
查找导致安全开发
虽然许多文件告诉你的事情怎么可能出问题,少的资源实际上是告诉你如何避免它们在一般的方式很好的通用做法。
目前,我主要推荐以下资源:
- 大卫·鲁克的“安全开发原则”(谷歌:安全发展的大卫车原则)
- OWASP十大安全漏洞保护部分页面(每个条目在顶部10的在线版本)点击
查找为您量身定做技术
资源获取使用您所说的语言告诉您“如何做到这一点”的资源。通常情况下,C#。 MSDN门户为开发人员提供了许多安全检查表(http://msdn.microsoft.com/en-us/library/ms998408.aspx)。最后,进入它:连接到应用程序安全的常规输入,查找博客,阅读新闻(使用一些漏洞名称或单词(如“应用程序安全性”或“安全开发”)构建Google警报),并查看会发生什么情况。
希望它有帮助。
某人
PS:抱歉“谷歌”的链接,我是一个新用户,只能在我的答案:(
相关问题
- 1. 防御性编程:Java中的指导
- 2. Erlang的非防御性编程
- 3. ACM ICPC Online Judge如何防止恶意攻击?
- 4. 防御性编程和异常处理
- 5. 该代码还可以针对防御性编程进行优化吗?
- 6. 防御路径穿越攻击的最佳方法是什么?
- 7. 针对WPF应用程序的攻击
- 8. 加工塔防御游戏 - 塔攻击敌人
- 9. 亚马逊EC2负载均衡器:防御DoS攻击?
- 10. 从恶意脚本的攻击保护网站和病毒
- 11. Python - 关键错误的防御性编程
- 12. .Net 2.0的代码合同和防御性编程库?
- 13. swaping集防御性副本
- 14. MVC3 URL参数 - 避免恶意攻击/安全漏洞
- 15. .net 4调试api导致恶意攻击
- 16. 防止对JBoss 4.2的XXE攻击4.2
- 17. XSS攻击防范
- 18. XSS攻击防护
- 19. 针对EXTRA_SPEECH_INPUT_COMPLETE_SILENCE_LENGTH_MILLIS的黑客攻击?
- 20. 针对.NET DataView的注入攻击RowFilter
- 21. 防御性编程是否违反DRY原则?
- 22. 防御性编程还是浪费时间?
- 23. 早期回报测试(防御性编程)
- 24. 防止恶意Flash广告
- 25. 针对面向互联网的ASP.MVC的防御技术
- 26. 针对XSS一个URL PHP filter_var攻击
- 27. 防止XSRF攻击GWTP应用程序
- 28. 针对桌面应用程序的常见安全威胁的防御
- 29. GWTP防范XSRF攻击
- 30. 防止输入型攻击
文章指出我到微软的安全网页[HTTP POST 1个网址:/ /msdn.microsoft.com/en-us/security/default.aspx]和他们的SDL - plus测试工具,正是我在寻找的东西,非常感谢! – user173847 2009-09-16 19:36:45