Articles

Articles & reference sources

𝑹𝒆𝒂𝒅𝒆𝒓'𝒔 𝑫𝒊𝒈𝒆𝒔𝒕


"24 смертных греха компьютерной безопасности. Как написать безопасный код"



Авторы - Майкл Ховард и Дэвид Лебланк, обучающие программистов компании Microsoft безопасному коду - анализируют самые распространенные и серьезные ошибки кодирования, программные "дыры", "благодаря" которым хакеры получают возможность взламывать программные продукты.

Рассмотрено большинство языков и платформ программирования, каждая глава посвящена отдельному типу уязвимости ("смертному греху"), угрожающему безопасности компьютерных систем и программ.

Продемонстрированы как сами ошибки программирования, так и способы их исправления и защиты от взлома систем.

I. Грехи веб-приложений
  • Грех 1. Отсутствие защиты от атак "Внедрение SQL (SQL Injection)"
  • Грех 2. Уязвимости веб-серверов (XSS, XSRF и расщепление ответа)
  • Грех 3. Уязвимости, связанные с веб-клиентом (XSS)
  • Грех 4. "Волшебные URL", предсказуемые cookie и скрытые поля форм.

II. Грехи реализации
  • Грех 5. Переполнение буфера
  • Грех 6. Дефекты форматных строк
  • Грех 7. Целочисленные переполнения
  • Грех 8. Катастрофы C++
  • Грех 9. Обработка исключений
  • Грех 10. Внедрение команд
  • Грех 11. Некорректная обработка ошибок
  • Грех 12. Утечка информации
  • Грех 13. Ситуация гонки
  • Грех 14. Слабое юзабилити
  • Грех 15. Трудности с обновлением
  • Грех 16. Выполнение кода с завышенными привилегиями
  • Грех 17. Хранение незащищенных данных
  • Грех 18. Дефекты мобильного (загружаемого по сети или внедренного в документы) кода

III. Криптографические грехи
  • Грех 19. Слабые пароли
  • Грех 20. Слабые случайные числа
  • Грех 21. Неудачный выбор криптографической системы

IV. Сетевые грехи
  • Грех 22. Незащищенный сетевой трафик
  • Грех 23. Неправильное использование Public Key Infrastructure (SSL)
  • Грех 24. Доверие к механизму разрешения сетевых имен (DNS, WINS)


Скачать книгу


Consense © 2013-2020