申明：本文非筆者原創，原文轉載自：https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%8 ...

申明：本文非筆者原創，原文轉載自：https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%8 ...

申明：本文非筆者原創，原文轉載自：https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%8 ...

申明：本文非筆者原創，原文轉載自：https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%8 ...

安全編碼的基本准則 不要相信用戶的任何輸入數據，因為所有數據都是可以偽造的。用戶數據包括HTTP請求中的一切，例如：QueryString, Form, Header, Cookie, File 服務端在處理請求前，必須先驗證數據是否合法，以及用戶是否具有相關的操作權限 ...

C本質上是不安全的編程語言。例如如果不謹慎使用的話，其大多數標准的字符串庫函數有可能被用來進行緩沖區攻擊或者格式字符串攻擊。但是，由於其靈活性、快速和相對容易掌握，它是一個廣泛使用的編程語言。下面是針對開發安全的C語言程序的一些規范。 1.1.1 緩沖區溢出 避免使用不執行邊界檢查 ...

摘要：當web工程比較大，歷史代碼較多時， 應當使用log4j2框架的能力來修改日志注入問題，而不是按照有些博文里寫的逐個進化參數的方式。 案例故事 某個新系統上線了，小A在其中開發了個簡單的登錄模塊，會在日志里記錄所有登錄成功或者失敗的用戶。 小A對用戶名都做了白名單校驗，不正確 ...

安全設計與開發checklist 檢查類型 檢查項(checklist) 輸入驗證 校驗跨信任邊界傳遞的不可信數據（策略檢查數據合法性，含白名單機制等） 格式化字符串時，依然 ...