安全编码最佳实践 | 安全代码教练
学习

掌握最新的安全编码技术。

网络威胁不断变化,保持领先比以往任何时候都更加重要。通过一系列视频、博客和便捷的安全编码指南,我们可以帮助您了解最新情况,为下一步做好准备。

Secure code warrior

{
 "dependencies": {
   "foo": "1.0.0 - 2.9999.9999",
   "bar": ">=1.0.2 <2.1.2"
 }
}

特色指南

使用存在已知漏洞的组件

{
 "dependencies": {
   "foo": "1.0.0 - 2.9999.9999",
   "bar": ">=1.0.2 <2.1.2"
 }
}

大多数应用程序都会使用大量第三方组件。这些组件提供了日志、模板、数据库访问等一切功能。这使得软件开发变得更加容易,并节省了大量时间。但是,这些组件也是由人制作的,这意味着其中一些不可避免地会包含漏洞。阅读指南,了解更多信息。

import mysql.connector
db = mysql.connector.connect
#Bad Practice(不良做法)。避免这样做!
(host="localhost", user="newuser", passwd="pass", db="sample")
cur = db.cursor()
name = raw_input('Enter Name: ')
cur.execute("SELECT * FROM sample_data WHERE Name = '%s';" % name) for row in cur.fetchall(): print(row)
db.close()

特色指南

SQL 注入

import mysql.connector
db = mysql.connector.connect
#Bad Practice(不良做法)。避免这样做!
(host="localhost", user="newuser", passwd="pass", db="sample")
cur = db.cursor()
name = raw_input('Enter Name: ')
cur.execute("SELECT * FROM sample_data WHERE Name = '%s';" % name) for row in cur.fetchall(): print(row)
db.close()

SQL 注入(SQLi)在 SQL 语句中注入代码,以攻击和收集应用程序中的重要信息。这是一种网络安全漏洞。它是操纵数据库并从中提取重要信息的最常见黑客技术。

ts
let url = request.params.url;

let response = http.get(url);
let render = response.render();

return render.export();

特色指南

服务器端请求伪造

ts
let url = request.params.url;

let response = http.get(url);
let render = response.render();

return render.export();

当用户能使应用程序向攻击者确定的域发出 HTTP 请求时,就会出现服务器端请求伪造漏洞。如果应用程序可以访问专用/内部网络,攻击者还可以让应用程序向内部服务器发出请求。在本指南中,我们将通过一些示例对此进行深入探讨,以便更好地理解其实际效果。

许多框架都有一组可启用的端点,用于监控应用程序,无论是生产环境还是测试/开发环境。这些端点包括:

Metrics (Prometheus)
Logs
Environment information
Path/Url Mappings

特色指南

安全配置错误

许多框架都有一组可启用的端点,用于监控应用程序,无论是生产环境还是测试/开发环境。这些端点包括:

Metrics (Prometheus)
Logs
Environment information
Path/Url Mappings

安全配置错误在某种程度上是一个总括术语,涵盖了因应用程序的配置设置而非不良代码而产生的常见漏洞。这是一个涉及面很广的话题,在很大程度上取决于技术堆栈等因素。很多时候,解决这些问题看似简单,比如更改一个配置文件甚至一行代码,但这些漏洞可能会造成严重的影响和后果。阅读我们的指南,了解有关该漏洞的更多信息以及如何缓解该漏洞。

公众missions

真实世界安全编码missions.

探索我们的公共培训练习库。这些 SCWMissions 示例可指导您在真实应用程序模拟中亲身体验一些攻击性安全编码实践。

更多missions & 演练