2021年CISD知識點：軟件安全編碼

“注冊信息安全開發(fā)人員”，英文為 Certified Information Security Developer ，簡稱CISD，系經(jīng)中國信息安全測評中心認定的信息安全開發(fā)人員，具備一定的軟件安全開發(fā)知識和技術(shù)，能為軟件全生命周期中提供安全保障。

重點！CISD與CISP的關(guān)系是從屬，CISD認證屬于CISP，通過CISP考試之后，考生可以申請注冊CISD證書。

>>推薦閱讀CISD與CISP關(guān)系大揭秘

3.4.1 知識域：軟件漏洞與編碼原則

知識子域：軟件漏洞含義及分類

了解中國信息安全漏洞庫

了解信息安全漏洞共享平臺

了解美國漏洞數(shù)據(jù)庫

理解“七界”分類法

理解 Web 應(yīng)用漏洞 Top 10

知識子域：軟件安全編碼原則

理解常見的安全編碼實踐原則，如：規(guī)范編碼、代碼簡潔、處理警告、驗證輸入、凈化數(shù)據(jù)、最少反饋、檢查返回、加強檢查、安全編譯

3.4.2 知識域：安全編程基礎(chǔ)

知識子域：防范緩沖區(qū)溢出

理解緩沖區(qū)溢出的概念和成因

理解緩沖區(qū)溢出導(dǎo)致的后果

掌握防范緩沖區(qū)溢出的方法

知識子域：防范整數(shù)溢出

理解整數(shù)溢出的概念和成因

掌握避免整數(shù)溢出的方法

知識子域：處理競爭條件

理解競爭條件問題的概念和后果

掌握處理競爭條件的解決方法

知識子域：正確處理異常

理解異常處理不當(dāng)?shù)那樾魏秃蠊?

理解通用異常處理的編碼建議

知識子域：防范交互參數(shù)安全問題

了解環(huán)境變量的安全隱患和應(yīng)對方法

理解防范文件名和文件內(nèi)容攻擊的安全措施

了解對命令行數(shù)據(jù)的安全檢查

知識子域：防范拒絕服務(wù)攻擊

了解拒絕服務(wù)攻擊的目的

理解拒絕服務(wù)攻擊的應(yīng)對措施

3.4.3 知識域：Web 應(yīng)用安全編程

知識子域：防范 SQL 注入攻擊

理解 SQL 注入的原理與條件

掌握防范 SQL 注入的常用方法

知識子域：防范 XSS 跨站腳本攻擊

理解跨站腳本攻擊的原理

理解跨站腳本攻擊的攻擊形式

掌握防御 XSS 跨站腳本攻擊的方法

知識子域：避免重定向漏洞

理解造成重定向漏洞的原因

理解重定向漏洞的解決方法

知識子域：避免跨站請求偽造漏洞

理解跨站請求偽造漏洞的原理

了解 CSRF 攻擊的流程及實現(xiàn)

理解 CSRF 攻擊的防御方法

3.4.4 知識域：數(shù)據(jù)安全編程

知識子域：常用密碼算法和接口庫

了解密碼算法的選擇方法

理解常用密碼庫

了解我國商用密碼算法接口

知識子域：隨機數(shù)生成

理解緩沖區(qū)溢出、整數(shù)溢出等攻擊的成因與危害

掌握輸入驗證、替換危險的函數(shù)等防御措施

知識子域：選擇加密算法

理解選擇加密算法的注意事項

理解編寫加密代碼的正確流程

知識子域：密鑰生成和使用

了解密鑰管理方面易犯的錯誤

理解密鑰管理應(yīng)當(dāng)遵循的策略

知識子域：加鹽哈希計算

了解哈希算法和鹽值的概念

理解加鹽哈希算法的運算原理

理解保證哈希計算安全強度的方法

以上就是希賽小編為大家整理的CISD知識點：軟件安全編碼，希望能對正在備考的考生有幫助！