原文:http://news.ccidnet.com/art/1366/20090113/1656927_1.html
據國外**報道,大多數it安全事件(如補丁程式或網路攻擊等)都與軟體程式設計錯誤有關,在過去的三年中,非贏利調研機構mitre和美國系統網路安全協會( sans institute)發現了700多處常見的軟體程式設計錯誤,經過安全專家的篩選,最終於周一公布了以下25大軟體程式設計錯誤:
1. 錯誤的輸入驗證
2. 不正確的編碼或轉義輸出
3. 維持sql查詢結構(sql注入)錯誤
4. 維持網頁結構(跨站點指令碼)錯誤
5. 維持作業系統命令結果(作業系統命令注入)錯誤
6. 明文傳送敏感資訊
7. 跨站點請求偽造
8. 資源競爭(race condition)
9. 錯誤資訊洩露
10. 限定緩衝區內操作失敗
11. 外部控制重要狀態資料
12. 外部控制檔名或路徑
14. 不可信搜尋路徑
15. 控制**生成錯誤(**注入)
16. 錯誤的資源關閉或發布
17. 不正確的初始化
18. 錯誤計算
19. 可滲透防護
20. 使用被破解的加密演算法
21. 硬編碼密碼
22. 對核心資源的錯誤許可權分配
23. 隨機值的錯誤利用
24. 濫用特權操作
25. 客戶端執行伺服器端安全
網際網路安全(二)
數字簽名 使用公鑰加密技術實現的用於鑑別數字資訊的方法,由資訊的傳送者產生的別人無法偽造的一段數字串,放鬆方用乙個雜湊函式從報文中生成報文摘要 digest 然後使用自己的私鑰對該摘要加密,加密後的摘要即時該報文的數字簽名。接收方需要用和加密是一樣的雜湊函式從接收到的報文中算出報文摘要,然後再用傳送...
網際網路安全加密
1.加密理解 加密型別 分為單向加密和雙向加密 加密演算法 演算法分為對稱性加密演算法和非對稱性加密 對稱性加密理解 對於對稱性加密演算法,資訊接收雙方都需事先知道密匙和加解密演算法且其密匙是相同的,之後便是對資料進行加解密了。非對稱性加密理解 非對稱演算法與之不同,傳送雙方a,b事先均生成一堆密匙...
網際網路安全 API 安全概述
申明 本筆記引用了 的一些內容,並結合自己的理解與思考,歡迎指正。1.1 什麼是api安全 api是系統提供服務的介面,外部 web mobile server等 請求api,經過一些業務邏輯後,返回響應。api安全主要涉及網路安全 應用安全 資訊保安。1.1.1 api 安全目標 api安全目標 ...