代码精进之路
范学雷
前 Oracle 首席软件工程师,Java SE 安全组成员,OpenJDK 评审成员
38234 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
推荐试读
换一换
免费
课程目录
已完结/共 48 讲
开篇词 (1讲)
开篇词 | 你写的每一行代码,都是你的名片
时长 08:12
第一模块:代码“规范”篇 (16讲)
01 | 从条件运算符说起,反思什么是好代码
时长 12:24
02 | 把错误关在笼子里的五道关卡
时长 13:30
03 | 优秀程序员的六个关键特质
时长 12:32
04 | 代码规范的价值:复盘苹果公司的GoToFail漏洞
时长 11:22
05 | 经验总结:如何给你的代码起好名字?
时长 09:23
06 | 代码整理的关键逻辑和最佳案例
时长 12:31
07 | 写好注释,真的是小菜一碟吗?
时长 10:11
08 | 写好声明的“八项纪律”
时长 05:46
09 | 怎么用好Java注解?
时长 08:04
10 | 异常处理都有哪些陷阱?
时长 10:42
11 | 组织好代码段,让人对它“一见钟情”
时长 06:46
12丨组织好代码文件,要有“用户思维”
时长 10:30
13 | 接口规范,是协作的合约
时长 09:51
14 | 怎么写好用户指南?
时长 11:04
15 | 编写规范代码的检查清单
时长 11:31
16丨代码“规范”篇用户答疑
时长 11:04
第二模块:代码“经济”篇 (14讲)
17 | 为什么需要经济的代码?
时长 14:46
18丨思考框架:什么样的代码才是高效的代码?
时长 11:03
19 | 怎么避免过度设计?
时长 10:00
20 | 简单和直观,是永恒的解决方案
时长 09:03
21 | 怎么设计一个简单又直观的接口?
时长 11:45
22丨高效率,从超越线程同步开始!
时长 09:36
23 | 怎么减少内存使用,减轻内存管理负担?
时长 10:37
24 | 黑白灰,理解延迟分配的两面性
时长 07:11
25 | 使用有序的代码,调动异步的事件
时长 08:52
26 | 有哪些招惹麻烦的性能陷阱?
时长 09:53
27 | 怎么编写可持续发展的代码?
时长 11:27
28 | 怎么尽量“不写”代码?
时长 09:52
29 | 编写经济代码的检查清单
时长 10:14
30丨“代码经济篇”答疑汇总
时长 08:36
第三模块:代码“安全”篇 (14讲)
31 | 为什么安全的代码这么重要?
时长 10:14
32 | 如何评估代码的安全缺陷?
时长 17:29
33 | 整数的运算有哪些安全威胁?
时长 12:17
34 | 数组和集合,可变量的安全陷阱
时长 09:05
35 | 怎么处理敏感信息?
时长 09:15
36 | 继承有什么安全缺陷?
时长 09:59
37 | 边界,信任的分水岭
时长 00:00
38 | 对象序列化的危害有多大?
时长 00:00
39 | 怎么控制好代码的权力?
时长 00:00
40 | 规范,代码长治久安的基础
时长 00:00
41 | 预案,代码的主动风险管理
时长 00:00
42 | 纵深,代码安全的深度防御
时长 11:21
43 | 编写安全代码的最佳实践清单
时长 00:00
44 | “代码安全篇”答疑汇总
时长 00:00
加餐 (1讲)
Q&A加餐丨关于代码质量,你关心的那些事儿
时长 13:36
结束语 (1讲)
结束语|如何成为一个编程好手?
时长 04:50
期末测试题 (1讲)
期末测试丨有关代码编写的那些准则,你掌握了多少呢?
时长 00:00
代码精进之路
15
15
1.0x
00:00/00:00
登录|注册

37 | 边界,信任的分水岭

范学雷
修复
漏洞
数据结构
原理
活跃状态
非可靠连接
守护
界定
重要概念
数据可信任性问题
代码分析
公开接口数据
外部输入数据
公开接口输出数据
公开接口输入数据
I/O输入数据
用户输入数据
外部数据
内部数据
数据合法性
安全编码原则
修复方法
漏洞原因
代码问题
心跳协议
计算机通信
信任的边界
信息安全
一起来动手
小结
哪些是外部数据?
信任的边界
案例分析
评审案例
边界
边界与信任的分水岭

该思维导图由 AI 生成,仅供参考

边界是信息安全里一个重要的概念。如果不能清晰地界定信任的边界,并且有效地守护好这个边界,那么编写安全的代码几乎就是一项不可能完成的任务。

评审案例

计算机之间的通信,尤其是建立在非可靠连接之上的通信,如果我们能够知道对方是否处于活跃状态,会大幅度地提升通信效率。在传输层安全通信的场景下,这种检测对方活跃状态的协议,叫做心跳协议。
心跳协议的基本原理,就是发起方给对方发送一段检测数据,如果对方能原封不动地把检测数据都送回,就证明对方处于活跃状态。
下面的数据结构,定义的就是包含检测数据的通信消息。
struct {
HeartbeatMessageType type;
uint16 payload_length;
opaque payload[HeartbeatMessage.payload_length];
opaque padding[padding_length];
} HeartbeatMessage;
其中,type 是一个字节,表明心跳检测的类型;payload_length 使用两个字节,定义的是检测数据的长度;payload 的字节数由 payload_length 确定,它携带的是检测数据;padding 是随机的填充数据,最少 16 个字节。
如果愿意回应心跳请求,接收方就拷贝检测数据(payload_length 和 payload),并把它封装在同样的数据结构里。
下面的这段代码(函数 process_heartbeat,为便于阅读,在源代码基础上有修改),就是接收方处理心跳请求的 C 语言代码。你能看出其中的问题吗?
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

本文通过讨论心脏滴血漏洞(Heartbleed)案例,强调了在信息安全领域中界定信任边界和有效守护边界的重要性。文章指出,对外部数据合法性的严格检查和内存操作的安全性是关键。通过具体案例分析和修复过程,突出了修复前存在的安全隐患。文章强调了安全编码原则的重要性,以及对外部数据合法性的严格检查和内存操作的安全性。同时,还讨论了公开接口的输入和输出数据需要考虑可变量的传递带来的危害。总之,本文提出了外部数据的合法性问题是信息安全领域的一大类问题,也是安全攻击者经常利用的一类安全漏洞。文章以案例分析的方式,引导读者思考并加深对信息安全领域的理解。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《代码精进之路》新⼈⾸单¥59
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
开篇词 | 你写的每一行代码,都是你的名片
免费
01 | 从条件运算符说起,反思什么是好代码
06 | 代码整理的关键逻辑和最佳案例
15 | 编写规范代码的检查清单
29 | 编写经济代码的检查清单
43 | 编写安全代码的最佳实践清单
登录 后留言

全部留言(8)

  • 最新
  • 精选
  • 彩色的沙漠
    malloc 开辟的空间可能包含释放了内存空间但是没有清除里面数据,所以里面的敏感信息有泄露的风险。释放内存空间的同时清空内存数据也是一个好习惯,避免很多不必要的麻烦

    作者回复: 是的,一个完整的方案要做到两个方面:清空敏感数据以及防范内存泄漏。

    2019-06-04
    8
  • 天佑
    老师,文件IO怎么也算外部数据呢?

    作者回复: 文件修改不在代码可以控制的范围里呀。

    2019-04-14
    2
  • DasonCheng
    作为开发人员,有哪些途径即时获取各种漏洞信息以便修补漏洞,避免损失呢?

    作者回复: 主要有:订阅相关的安全威胁情报,查看依赖软件的安全修复发布版,跟踪NIST提供的安全漏洞数据库。

    2019-06-13
    1
  • 空知
    之前的整数溢出也算是边界问题的一种吧

    作者回复: 是的。

    2019-04-01
    1
  • 天佑
    我看防御式编程会在边界处,专门构建一些类进行外部输入过滤,穿越进边界内不,可以完全信任,这在实际场景当中可操作性更强些吧,避免个人开发的遗漏。 另外,我看到有些例子对外部输入有标准化归一化处理,比如String normalized = Normalizer.normalize(xxx, Normalizer.Form.NFKC);道理也很好理解,觉得这样做会更好些,但是我咨询了开发,他们并不会经常用到,这是为什么,还是有特定场景才会使用?还有nfkc这玩意儿我一直没参透明白,希望老师解惑,谢谢。

    作者回复: 专门有一个过滤层,这种办法也能有作用,但是局限性很大。个例还可以,不是一个普遍的解决方案。 因为,在边界处,如果处理了所有的数据,过滤层就和内部的代码没什么重大区别;如果处理不了所有的数据,遗漏的数据还是不可信任。 就像我们文中边界那一部分的数据d一样。另外,加一层做所有的过滤损害效率,增大代码复杂度,破坏代码逻辑。我很少看到这种用法。如果过滤层能想到检查,没有过滤层,常规代码里也能做到。先想到,才能做到;想到了,怎么做就有很多选择了。 我也不懂NFKC是什么。

    2019-03-29
    1
  • cz
    公开接口输出的数据, 有个典型的例子, java.enum.values() // 为了避免输出的values array 被无意修改, jdk 的实现是每次都拷贝一个 array // 虽然性能上有点妥协, 但最大程度上保证了代码的正确性
    2022-01-26
    1
  • ifelse
    无法识别来源的数据,不应该是可信任的数据。--记下来
    2022-07-31归属地:浙江
  • 丁丁历险记
    涨了不少见识
    2019-10-15
收起评论
显示
设置
留言
8
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部