机构名称:
¥ 7.0
大多数安全漏洞是由不安全的输入处理引起的。这些讲义讨论了用于安全输入处理的模式和反图案,也讨论了输出处理,因为某些输入问题实际上是输出问题。一个常见的误解是,我们应该简单地验证或消毒输入以防止输入问题。可能需要输入验证或缺乏疗法,但也可能是解决一些输入问题的完全错误的方法。此外,即使它们在根本上是非常不同的概念,也通常会发现(或困惑)验证和缺乏症。使事情变得更糟,许多(近)同义词 - 过滤,编码,逃脱,中和引用 - 加剧了混乱。我们将从解析的角度来研究输入处理。典型的应用必须解析多种语言,格式和协议。大多数安全问题是由于这些语言的不安全,错误或意外解析所致。在这里,这些讲义很大程度上归功于Langsec方法对不安全输入处理的根本原因的见解。解析提供了一个有用的观点,可以在结构上防止输入处理问题:Langsec构建安全解析器的方法以及不容易受到注射攻击的键入和“安全” API。
安全输入处理
主要关键词
相关文件推荐
