话题: 软件开发安全
-
如何破坏代码之缓冲区溢出
2009-08-16 | 作者:Greg Hoglund and Gary McGraw | 翻译:Sean缓冲区溢出就像个给软件安全捣蛋的男孩。围绕缓冲区溢出的讨论一直无所不在。缓冲区溢出攻击已进化了多年,产生了一系列攻击手段,新的更强大的缓冲区溢出攻击已经出现……
-
深入浅出攻防恶意PDF文档实战
2009-07-23 | 作者:宇文随着恶意PDF文件日益增多,人们对这种文档的恶意代码分析技术也越来越感兴趣。本文将教您如何分析特殊类型的恶意PDF文件:它们可以利用内嵌JavaScript解释器的安全漏洞……
-
静态和动态代码分析:确保应用安全的关键因素
2009-07-12 | 作者:Michael Cobb | 翻译:Sean微软发布了安全开发生命周期(Security Development Lifecyle, SDL )。SDL对产品进行静态和动态的代码分析,检测它在技术和逻辑上的漏洞,从而确定……
-
应用软件开发最佳实践
2009-07-07 | 作者:Michael Cobb | 翻译:Sean问:从安全的角度,你如何看待Web应用程序开发中的帐号注销超时设置、缓存以及其他最佳实践的准则?
-
Unix安全编程:最小化特权
2009-07-02安全的程序必须最小化特权,以降低 bug 转化为安全缺陷的可能性。本文讨论了如何通过最小化有特权的模块、授与的特权以及特权的有效时间来最小化特权。
-
小心避免软件需求分析中五类陷阱
2009-05-11用例(Use case)已经成为被广泛使用的需求开发技术。围绕着用户和他们的目标,而不是产品的功能,这大大提高了开发出能真正满足客户需求的软件产品的可能性。然而,由于对用例所知甚少,造成用例的神秘感与日俱增
-
软件开发安全应从代码开始
2009-04-22 | 作者:Neil Roiter | 翻译:Tina Guo软件开发安全应该从开发人员编写每一行代码的时候开始。Intuit Inc.的副总兼CISO Jerry Archer说:“源代码分析是从概念阶段开始的……
-
微软云计算平台因安全运作暂时中断
2009-03-18 | 作者:木淼鑫今日微软在博客里发布消息证实,刚成立的云计算平台Windows Azure上周末曾中断运作24小时。据悉此次中断与“云计算”尚未解决的……
-
防御跨站脚本攻击 拒绝特殊字符
2009-02-22 | 作者:John Strand | 翻译:Tina Guo我对防御跨站脚本攻击很有兴趣。如果我拒绝使用<、 >、脚本这样的字符和词语,那么就会增加应用开发的成本。你会推荐这种“作战”方式吗?
-
软件安全性测试
2009-02-11安全性测试是一项迫切需要进行的测试,测试人员需要像黑客一样攻击软件系统,找到软件系统包含的安全漏洞,那么软件的安全性测试要如何进行呢?