每个程序员都应该知道如何编写利用代码。

如果不知道系统是如何被利用的，你就会意外地阻止漏洞。除非你知道如何测试你的补丁，否则知道如何打补丁是毫无意义的。安全不仅仅是一堆思想实验，你必须科学地测试你的实验。

框架和api中安全默认值的重要性:

Lots of early web frameworks didn't escape html by default in templates and had XSS problems because of this Lots of early web frameworks made it easier to concatenate SQL than to create parameterized queries leading to lots of SQL injection bugs. Some versions of Erlang (R13B, maybe others) don't verify ssl peer certificates by default and there are probably lots of erlang code that is susceptible to SSL MITM attacks Java's XSLT transformer by default allows execution of arbitrary java code. There has been many serious security bugs created by this. Java's XML parsing APIs by default allow the parsed document to read arbitrary files on the filesystem. More fun :)

你应该知道三个A。认证、授权、审计。典型的错误是验证用户身份，而不检查用户是否被授权执行某些操作，因此用户可能会查看其他用户的私人照片，Diaspora所犯的错误。很多人忘记了审计，在一个安全的系统中，你需要能够知道谁在什么时候做了什么。

如果你想要你的应用程序是安全的，请记住以下原则:

Never trust any input! Validate input from all untrusted sources - use whitelists not blacklists Plan for security from the start - it's not something you can bolt on at the end Keep it simple - complexity increases the likelihood of security holes Keep your attack surface to a minimum Make sure you fail securely Use defence in depth Adhere to the principle of least privilege Use threat modelling Compartmentalize - so your system is not all or nothing Hiding secrets is hard - and secrets hidden in code won't stay secret for long Don't write your own crypto Using crypto doesn't mean you're secure (attackers will look for a weaker link) Be aware of buffer overflows and how to protect against them

网上有一些关于提高应用程序安全性的优秀书籍和文章:

编写安全代码第二版——我认为每个程序员都应该读这篇文章 构建安全软件:如何以正确的方式避免安全问题 安全编程指南 利用软件 安全工程——一本极好的读物 Linux和Unix安全编程HOWTO

对开发人员进行应用程序安全最佳实践方面的培训

Codebashing(支付)

安全创新(支付)

安全罗盘(付费)

OWASP WebGoat(免费)

另外，请务必查看OWASP前10名列表，以了解所有主要攻击载体/漏洞的分类。

这些东西读起来很吸引人。学习像攻击者一样思考将训练您在编写自己的代码时思考什么。

我愿补充以下几点:

数字签名和数字证书是如何工作的 沙盒是什么

了解不同的攻击载体是如何工作的:

本机代码的缓冲区溢出/下溢/等 社会工程师 DNS欺骗 中间的人 CSRF/XSS等 SQL注入 加密攻击(例如:利用弱加密算法，如DES) 程序/框架错误(例如:github最新的安全漏洞)

你可以很容易地谷歌所有这些。这会给你一个很好的基础。 如果你想了解web应用程序的漏洞，有一个名为谷歌gruyere的项目可以向你展示如何利用一个正在运行的web应用程序。