我是一名IT学生,现在大学三年级。 到目前为止,我们一直在研究与计算机相关的许多主题(编程,算法,计算机体系结构,数学等)。
我很确定没有人能够学到关于安全性的所有事情,但确保每个程序员或IT学生都应该了解它的“最低”知识,而我的问题是这个最低限度的知识是什么?
您能否建议一些电子书或课程或任何可以帮助您从这条道路开始?
#1楼
- 请记住,您(程序员)必须保护所有部件,但攻击者只需要成功找到你的盔甲中的一个扭结。
- 安全是“未知未知”的一个例子。 有时你不会知道可能的安全漏洞是什么(直到之后)。
- 错误和安全漏洞之间的区别取决于攻击者的智能。
#2楼
Mozilla的网络安全团队汇集了一份伟大的指南 ,我们在开发我们的网站和服务时遵守这一指南 。
#3楼
另外,请务必查看OWASP Top 10 List ,了解所有主要攻击媒介/漏洞的分类。
阅读这些内容令人着迷。 学习像攻击者一样思考会在你编写自己的代码时训练你思考什么。
#4楼
加盐并哈希用户的密码。 永远不要将它们保存在数据库的纯文本中。
#5楼
我想补充以下内容:
- 数字签名和数字证书的工作原理
- 什么是沙箱
了解不同的攻击向量如何工作:
- 本机代码上的缓冲区溢出/下溢/等
- 社会工程
- DNS欺骗
- 男人在中间
- CSRF / XSS等
- SQL注入
- 加密攻击(例如:利用DES等弱加密算法)
- 程序/框架错误(例如:github的最新安全漏洞)
您可以轻松谷歌所有这一切。 这将为您奠定良好的基础。 如果您想查看Web应用程序漏洞,那么有一个名为google gruyere的项目可以向您展示如何利用有效的Web应用程序。
来源:oschina
链接:https://my.oschina.net/stackoom/blog/3162220