1.验证输入
安全软件的第一道防线是检查每一个不可信的输入。如果能不让恶意的数据进入软件, 或者至少不在软件中处理它,那么该软件程序在面对攻击时将更加健壮。因此,验证输入和网络安全防护中的防火墙保护原理很类似,是对外部输入进行过滤控制。
在输人数据第一次进入到软件中时,需要对其进行验证是显而易见的,这也是验证输入的必要的一环。事实上,有经验的软件开发人员还会在第一次使用输入数据时对其进行检查和验证,以保障软件接收到符合要求的输人数据,并成功执行。一般地,有些软件开发人员会使用公共模块接收外部输入数据,此时可采用公用验证模块对数据进行安全检查和验证。
因此,在输人数据真正使用时,再次有针对性地进行合法检查就显得非常有必要了。
对输人数据的验证,可以采用“黑名单”的方式,也可以采用“白名单”的方式,这两种方式效率不同,对输人数据的开放性要求也不一样,因此适合在不同的场合使用。
想了解更多IT资讯,请访问中培伟业官网:中培伟业