关于安全的一般信息，我强烈推荐阅读Bruce Schneier。他有一个网站，他的密码通讯，几本书，还做了很多采访。

我也会熟悉社会工程(和Kevin Mitnick)。

对于一本关于安全在现实世界中如何发挥作用的好书(而且相当有趣)，我会推荐这本优秀的(尽管有点过时)克里夫·斯托尔的《布谷鸟的蛋》。

如果你想要你的应用程序是安全的，请记住以下原则:

Never trust any input! Validate input from all untrusted sources - use whitelists not blacklists Plan for security from the start - it's not something you can bolt on at the end Keep it simple - complexity increases the likelihood of security holes Keep your attack surface to a minimum Make sure you fail securely Use defence in depth Adhere to the principle of least privilege Use threat modelling Compartmentalize - so your system is not all or nothing Hiding secrets is hard - and secrets hidden in code won't stay secret for long Don't write your own crypto Using crypto doesn't mean you're secure (attackers will look for a weaker link) Be aware of buffer overflows and how to protect against them

网上有一些关于提高应用程序安全性的优秀书籍和文章:

编写安全代码第二版——我认为每个程序员都应该读这篇文章 构建安全软件:如何以正确的方式避免安全问题 安全编程指南 利用软件 安全工程——一本极好的读物 Linux和Unix安全编程HOWTO

对开发人员进行应用程序安全最佳实践方面的培训

Codebashing(支付)

安全创新(支付)

安全罗盘(付费)

OWASP WebGoat(免费)

程序员的安全规则第一条:不要自己动手

除非您自己是安全专家和/或密码学家，否则请始终使用设计良好、经过良好测试且成熟的安全平台、框架或库来为您工作。专家和黑客等人花了数年时间思考、修补、更新和检查这些问题。你想要获得这些优势，而不是试图重新发明轮子而忽视它们。

现在，这并不是说您不需要学习任何关于安全性的知识。当然，您需要了解足够多的知识来理解您在做什么，并确保正确地使用这些工具。然而，如果你发现自己要开始编写自己的加密算法、认证系统、输入杀毒器等，停下来，后退一步，记住规则#1。

安全是一个过程，而不是一个产品。

许多人似乎忘记了这个显而易见的事实。

关于安全的一般信息，我强烈推荐阅读Bruce Schneier。他有一个网站，他的密码通讯，几本书，还做了很多采访。

我也会熟悉社会工程(和Kevin Mitnick)。

对于一本关于安全在现实世界中如何发挥作用的好书(而且相当有趣)，我会推荐这本优秀的(尽管有点过时)克里夫·斯托尔的《布谷鸟的蛋》。

我愿补充以下几点:

数字签名和数字证书是如何工作的 沙盒是什么

了解不同的攻击载体是如何工作的:

本机代码的缓冲区溢出/下溢/等 社会工程师 DNS欺骗 中间的人 CSRF/XSS等 SQL注入 加密攻击(例如:利用弱加密算法，如DES) 程序/框架错误(例如:github最新的安全漏洞)

你可以很容易地谷歌所有这些。这会给你一个很好的基础。 如果你想了解web应用程序的漏洞，有一个名为谷歌gruyere的项目可以向你展示如何利用一个正在运行的web应用程序。