申明：本文非笔者原创，原文转载自：https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%8 ...

申明：本文非笔者原创，原文转载自：https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%8 ...

申明：本文非笔者原创，原文转载自：https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%8 ...

申明：本文非笔者原创，原文转载自：https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%8 ...

安全编码的基本准则 不要相信用户的任何输入数据，因为所有数据都是可以伪造的。用户数据包括HTTP请求中的一切，例如：QueryString, Form, Header, Cookie, File 服务端在处理请求前，必须先验证数据是否合法，以及用户是否具有相关的操作权限 ...

C本质上是不安全的编程语言。例如如果不谨慎使用的话，其大多数标准的字符串库函数有可能被用来进行缓冲区攻击或者格式字符串攻击。但是，由于其灵活性、快速和相对容易掌握，它是一个广泛使用的编程语言。下面是针对开发安全的C语言程序的一些规范。 1.1.1 缓冲区溢出 避免使用不执行边界检查 ...

摘要：当web工程比较大，历史代码较多时， 应当使用log4j2框架的能力来修改日志注入问题，而不是按照有些博文里写的逐个进化参数的方式。 案例故事 某个新系统上线了，小A在其中开发了个简单的登录模块，会在日志里记录所有登录成功或者失败的用户。 小A对用户名都做了白名单校验，不正确 ...

安全设计与开发checklist 检查类型 检查项(checklist) 输入验证 校验跨信任边界传递的不可信数据（策略检查数据合法性，含白名单机制等） 格式化字符串时，依然 ...