针对恶意攻击的防御性编程[关闭]
-
07-07-2019 - |
题
我工作的公司正在重新开发内部产品以供外部使用。
该产品最初将使用 WPF 用 C# 进行开发,然后移植到 Silverlight。
重点之一是针对恶意攻击进行编码,例如SQL注入等
问题:
- 任何人都可以推荐指向有关安全“最佳实践”的文章的 URL。
- 谁能推荐一个分析工具来分析代码以找出弱点。如果可能的话,我们希望将该工具包含在我们的持续集成脚本中。
解决方案
在MSDN上尝试以下文章:安全性(如何使用C#) 。
其他提示
我找到的最好的资源是:
http://www.owasp.org/index.php/Main_Page
在该网站内,我将从这里开始:
http://www.owasp.org/index.php/Top_10_2007
排名前10位的是网站漏洞,但这些概念适用于所有类型的应用。在我个人看来,在学习安全编码方面,你真的不能做一个更好的起点。
该网站提供最佳实践,工具,并且无论您的技能水平如何,都能让一切变得易于理解。
*已添加*
另一个很好的资源是MSDN文档,因为您的问题被标记为C#。
我想从安全开发开始意味着三个步骤:
识别并理解大局:可能会出什么问题
这意味着了解漏洞的技术方面以及它如何导致问题发生。
通常,我会选择 OWASP 的十大 Web 应用程序安全漏洞(谷歌:2007 年 owasp 前 10 名)。
如果您不明白,请寻求指导。理解这样的文档并不直接告诉您如何构建安全代码,但它可以很好地表明您对安全开发的理解程度。
寻找可实现安全开发的良好通用实践
虽然许多文档告诉您事情可能会如何出错,但很少有资源真正告诉您如何以一般方式避免它们。
目前,我主要推荐这些资源:
- David Rook 的《安全开发原则》(google:大卫·鲁克(David Rook)安全开发原则)
- OWASP 的 Top 10 漏洞保护部分页面(每个条目都可以在 Top 10 的在线版本上单击)
查找适合您的技术的资源
访问以您所使用的语言告诉您“如何执行此操作”的资源。通常,C#。MSDN 门户为开发人员提供了许多安全检查表(http://msdn.microsoft.com/en-us/library/ms998408.aspx).
最后,进入正题:连接到有关应用程序安全性的常规输入,查找博客,阅读新闻(使用一些漏洞名称或单词(例如“应用程序安全”或“安全开发”)构建 Google 警报),然后看看会发生什么。
希望能帮助到你。
某人
附:对于“google”链接感到抱歉,我是新用户,只能在我的答案中发布 1 个网址:(