我一直认为,编写一个任何类型的恶意软件所需的时间和资源最好花在其他事情上。但是,作为开发人员,我一直担心我工作的系统可能存在安全漏洞。
当然我知道验证输入,我完全理解代码和SQL注入是如何工作的,并且过度消毒这些风险。此外,无论什么时候我都可以,我会用任何资源来处理新的安全风险(例如文章,白皮书,演示文稿等),但我常常觉得我错过了这一点,也许是因为我的大部分知识都可能是被归类为“新奇”(C#,MSSQL,PHP,一些Python,一些Ruby):我所知道的最古老的语言是Classic ASP。
有时当我阅读Cross Site Scripting和URL劫持等内容时,我会阅读他们所依据的文章,但我觉得我没有100%关注。
您知道如何处理安全问题并真正了解它们的工作方式,您有哪些最佳资源?可以是任何东西,书籍,网站,其他类型的资源。我知道我对这些问题知之甚少,所以我可以去哪里了解更多信息?
答案 0 :(得分:2)
答案 1 :(得分:2)
嗯,你可以从杰夫最近的一篇文章开始: Top 25 Most Dangerous Programming Mistakes并从那里开始前进。
答案 2 :(得分:1)
尝试James Whittaker的How to break software security
答案 3 :(得分:0)
一只猴子,
您提出这个问题意味着您正在顺利前进。真正的问题是,许多人不会问,不要像你一样担心。
我要修改的一件事是改变你完全了解一些安全问题的想法。那里有一些非常狡猾的小混蛋。我认为你最好假设他们比你更聪明,所以尽可能地把事情搞得一团糟。我发现这是一种更好的心态。
您应该看两个资源: XSS Cheat Sheet
答案 4 :(得分:0)
我必须承认对此查询的冷淡回应感到有些惊讶。这是否意味着:
a)其他人都知道OWASP,而我却落后于曲线?
b)其他人对其代码的安全性有足够的信心,不需要一点帮助保持最新状态吗?
c)没人关心吗?
d)其他?
我发现对OWASP的参考最有帮助,到目前为止,我将安装一些他们的项目软件,看看它是如何工作的,一旦我觉得我最好安全明智地看看他们的网站我将这个答案标记为已被接受,除非同时出现更好的事情。
答案 5 :(得分:0)