我是一名IT专业的学生,我现在在大学三年级。到目前为止,我们已经学习了很多与计算机相关的学科(编程、算法、计算机体系结构、数学等)。
我很确定没有人能学会所有关于安全的知识,但肯定有一个“最低限度”的知识每个程序员或IT学生都应该知道,我的问题是这个最低限度的知识是什么?
你能建议一些电子书或课程或任何可以帮助我们开始这条路的东西吗?
当前回答
Mozilla的Web安全团队制定了一个很好的指南,我们在网站和服务的开发中都遵循这个指南。
其他回答
我愿补充以下几点:
数字签名和数字证书是如何工作的 沙盒是什么
了解不同的攻击载体是如何工作的:
本机代码的缓冲区溢出/下溢/等 社会工程师 DNS欺骗 中间的人 CSRF/XSS等 SQL注入 加密攻击(例如:利用弱加密算法,如DES) 程序/框架错误(例如:github最新的安全漏洞)
你可以很容易地谷歌所有这些。这会给你一个很好的基础。 如果你想了解web应用程序的漏洞,有一个名为谷歌gruyere的项目可以向你展示如何利用一个正在运行的web应用程序。
每个程序员都应该知道如何编写利用代码。
如果不知道系统是如何被利用的,你就会意外地阻止漏洞。除非你知道如何测试你的补丁,否则知道如何打补丁是毫无意义的。安全不仅仅是一堆思想实验,你必须科学地测试你的实验。
只是想把这个分享给网页开发者:
security-guide-for-developershttps: / / github.com/FallibleInc/security-guide-for-developers
对用户的密码加盐和散列。永远不要将它们以明文形式保存在数据库中。
为什么是重要的。 这都是关于权衡。 密码学在很大程度上分散了人们对安全性的注意力。
推荐文章
- JavaScript:客户端验证与服务器端验证
- ASP。NET身份的默认密码散列器-它是如何工作的,它是安全的?
- 主体、使用者和主体之间的意义和区别是什么?
- 阻止人们入侵基于php的Flash游戏高分表的最佳方法是什么
- 在php中生成一个随机密码
- java.util.Random和java.security. securerrandom的区别
- Docker和安全密码
- 准备好的语句如何防止SQL注入攻击?
- 为什么人们会写“throw 1;<不要邪恶>”和“for(;;);”在json响应前?
- 非加密用途的最快哈希?
- SHA512 vs. Blowfish和Bcrypt
- cer、pvk和pfx文件有什么区别?
- Django设置“SECRET_KEY”的目的是什么?
- 如何从命令行重置Jenkins安全设置?
- 如何通过SFTP从服务器检索文件?
