摘要:本文為考生介紹的是2021年CISD(注冊信息安全開發(fā)人員)知識點:軟件安全編碼,有意向獲得CISD認(rèn)證的考生,可參考以下知識點復(fù)習(xí)。
“注冊信息安全開發(fā)人員”,英文為 Certified Information Security Developer ,簡稱CISD,系經(jīng)中國信息安全測評中心認(rèn)定的信息安全開發(fā)人員,具備一定的軟件安全開發(fā)知識和技術(shù),能為軟件全生命周期中提供安全保障。
重點!CISD與CISP的關(guān)系是從屬,CISD認(rèn)證屬于CISP,通過CISP考試之后,考生可以申請注冊CISD證書。
3.4.1 知識域:軟件漏洞與編碼原則
知識子域:軟件漏洞含義及分類
了解中國信息安全漏洞庫
了解信息安全漏洞共享平臺
了解美國漏洞數(shù)據(jù)庫
理解“七界”分類法
理解 Web 應(yīng)用漏洞 Top 10
知識子域:軟件安全編碼原則
理解常見的安全編碼實踐原則,如:規(guī)范編碼、代碼簡潔、處理警告、驗證輸入、凈化數(shù)據(jù)、最少反饋、檢查返回、加強檢查、安全編譯
3.4.2 知識域:安全編程基礎(chǔ)
知識子域:防范緩沖區(qū)溢出
理解緩沖區(qū)溢出的概念和成因
理解緩沖區(qū)溢出導(dǎo)致的后果
掌握防范緩沖區(qū)溢出的方法
知識子域:防范整數(shù)溢出
理解整數(shù)溢出的概念和成因
掌握避免整數(shù)溢出的方法
知識子域:處理競爭條件
理解競爭條件問題的概念和后果
掌握處理競爭條件的解決方法
知識子域:正確處理異常
理解異常處理不當(dāng)?shù)那樾魏秃蠊?
理解通用異常處理的編碼建議
知識子域:防范交互參數(shù)安全問題
了解環(huán)境變量的安全隱患和應(yīng)對方法
理解防范文件名和文件內(nèi)容攻擊的安全措施
了解對命令行數(shù)據(jù)的安全檢查
知識子域:防范拒絕服務(wù)攻擊
了解拒絕服務(wù)攻擊的目的
理解拒絕服務(wù)攻擊的應(yīng)對措施
3.4.3 知識域:Web 應(yīng)用安全編程
知識子域:防范 SQL 注入攻擊
理解 SQL 注入的原理與條件
掌握防范 SQL 注入的常用方法
知識子域:防范 XSS 跨站腳本攻擊
理解跨站腳本攻擊的原理
理解跨站腳本攻擊的攻擊形式
掌握防御 XSS 跨站腳本攻擊的方法
知識子域:避免重定向漏洞
理解造成重定向漏洞的原因
理解重定向漏洞的解決方法
知識子域:避免跨站請求偽造漏洞
理解跨站請求偽造漏洞的原理
了解 CSRF 攻擊的流程及實現(xiàn)
理解 CSRF 攻擊的防御方法
3.4.4 知識域:數(shù)據(jù)安全編程
知識子域:常用密碼算法和接口庫
了解密碼算法的選擇方法
理解常用密碼庫
了解我國商用密碼算法接口
知識子域:隨機數(shù)生成
理解緩沖區(qū)溢出、整數(shù)溢出等攻擊的成因與危害
掌握輸入驗證、替換危險的函數(shù)等防御措施
知識子域:選擇加密算法
理解選擇加密算法的注意事項
理解編寫加密代碼的正確流程
知識子域:密鑰生成和使用
了解密鑰管理方面易犯的錯誤
理解密鑰管理應(yīng)當(dāng)遵循的策略
知識子域:加鹽哈希計算
了解哈希算法和鹽值的概念
理解加鹽哈希算法的運算原理
理解保證哈希計算安全強度的方法
以上就是希賽小編為大家整理的CISD知識點:軟件安全編碼,希望能對正在備考的考生有幫助!