本文分享了一次关于安全软件的培训心得,重点介绍了内存破坏、整数溢出、数组索引错误等问题,并强调了避免使用被禁用的API及注意格式化字符串的安全性。
公司里牛人的security software培训, 去听了一下,很多没有听懂,security 不是三言两语就能完全搞明白的,必须花很大的力气啊。
还是先把主要纲要记录一下,方便以后翻看。
主要介绍了这几个方面的内容:
1. memory corruption
包括stack overflow and heap overflow.
2. integer wraparound (整数加 或者 乘, 反而溢出变小)
signed 和 unsigned integer 混用
3. array index 的问题 (与之相关的是 著名的 openssl 的 heartbleed 漏洞)
讲义有空再看。
Day2:
今天是training 的第二个部分,心得如下:
1. do not use banned API,
比如 strcpy 等等,有更加安全的函数。
2. uncontrolled format string
printf 使用需要注意。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
