2021年CISD知識點:軟件安全編碼

CISP 責(zé)任編輯:唐丹平 2021-07-06

摘要:本文為考生介紹的是2021年CISD(注冊信息安全開發(fā)人員)知識點:軟件安全編碼,有意向獲得CISD認(rèn)證的考生,可參考以下知識點復(fù)習(xí)。

“注冊信息安全開發(fā)人員”,英文為 Certified Information Security Developer ,簡稱CISD,系經(jīng)中國信息安全測評中心認(rèn)定的信息安全開發(fā)人員,具備一定的軟件安全開發(fā)知識和技術(shù),能為軟件全生命周期中提供安全保障。

重點!CISD與CISP的關(guān)系是從屬,CISD認(rèn)證屬于CISP,通過CISP考試之后,考生可以申請注冊CISD證書。

>>推薦閱讀CISD與CISP關(guān)系大揭秘

CISD知識體:軟件安全編碼.png

3.4.1 知識域:軟件漏洞與編碼原則

知識子域:軟件漏洞含義及分類

了解中國信息安全漏洞庫

了解信息安全漏洞共享平臺

了解美國漏洞數(shù)據(jù)庫

理解“七界”分類法

理解 Web 應(yīng)用漏洞 Top 10

知識子域:軟件安全編碼原則

理解常見的安全編碼實踐原則,如:規(guī)范編碼、代碼簡潔、處理警告、驗證輸入、凈化數(shù)據(jù)、最少反饋、檢查返回、加強檢查、安全編譯

3.4.2 知識域:安全編程基礎(chǔ)

知識子域:防范緩沖區(qū)溢出

理解緩沖區(qū)溢出的概念和成因

理解緩沖區(qū)溢出導(dǎo)致的后果

掌握防范緩沖區(qū)溢出的方法

知識子域:防范整數(shù)溢出

理解整數(shù)溢出的概念和成因

掌握避免整數(shù)溢出的方法

知識子域:處理競爭條件

理解競爭條件問題的概念和后果

掌握處理競爭條件的解決方法

知識子域:正確處理異常

理解異常處理不當(dāng)?shù)那樾魏秃蠊?

理解通用異常處理的編碼建議

知識子域:防范交互參數(shù)安全問題

了解環(huán)境變量的安全隱患和應(yīng)對方法

理解防范文件名和文件內(nèi)容攻擊的安全措施

了解對命令行數(shù)據(jù)的安全檢查

知識子域:防范拒絕服務(wù)攻擊

了解拒絕服務(wù)攻擊的目的

理解拒絕服務(wù)攻擊的應(yīng)對措施

3.4.3 知識域:Web 應(yīng)用安全編程

知識子域:防范 SQL 注入攻擊

理解 SQL 注入的原理與條件

掌握防范 SQL 注入的常用方法

知識子域:防范 XSS 跨站腳本攻擊

理解跨站腳本攻擊的原理

理解跨站腳本攻擊的攻擊形式

掌握防御 XSS 跨站腳本攻擊的方法

知識子域:避免重定向漏洞

理解造成重定向漏洞的原因

理解重定向漏洞的解決方法

知識子域:避免跨站請求偽造漏洞

理解跨站請求偽造漏洞的原理

了解 CSRF 攻擊的流程及實現(xiàn)

理解 CSRF 攻擊的防御方法

3.4.4 知識域:數(shù)據(jù)安全編程

知識子域:常用密碼算法和接口庫

了解密碼算法的選擇方法

理解常用密碼庫

了解我國商用密碼算法接口

知識子域:隨機數(shù)生成

理解緩沖區(qū)溢出、整數(shù)溢出等攻擊的成因與危害

掌握輸入驗證、替換危險的函數(shù)等防御措施

知識子域:選擇加密算法

理解選擇加密算法的注意事項

理解編寫加密代碼的正確流程

知識子域:密鑰生成和使用

了解密鑰管理方面易犯的錯誤

理解密鑰管理應(yīng)當(dāng)遵循的策略

知識子域:加鹽哈希計算

了解哈希算法和鹽值的概念

理解加鹽哈希算法的運算原理

理解保證哈希計算安全強度的方法

以上就是希賽小編為大家整理的CISD知識點:軟件安全編碼,希望能對正在備考的考生有幫助!

更多課程
更多真題
溫馨提示:因考試政策、內(nèi)容不斷變化與調(diào)整,本網(wǎng)站提供的以上信息僅供參考,如有異議,請考生以權(quán)威部門公布的內(nèi)容為準(zhǔn)!