2021年CISD知識(shí)點(diǎn)：軟件安全編碼

“注冊(cè)信息安全開(kāi)發(fā)人員”，英文為 Certified Information Security Developer ，簡(jiǎn)稱(chēng)CISD，系經(jīng)中國(guó)信息安全測(cè)評(píng)中心認(rèn)定的信息安全開(kāi)發(fā)人員，具備一定的軟件安全開(kāi)發(fā)知識(shí)和技術(shù)，能為軟件全生命周期中提供安全保障。

重點(diǎn)！CISD與CISP的關(guān)系是從屬，CISD認(rèn)證屬于CISP，通過(guò)CISP考試之后，考生可以申請(qǐng)注冊(cè)CISD證書(shū)。

>>推薦閱讀CISD與CISP關(guān)系大揭秘

3.4.1 知識(shí)域：軟件漏洞與編碼原則

知識(shí)子域：軟件漏洞含義及分類(lèi)

了解中國(guó)信息安全漏洞庫(kù)

了解信息安全漏洞共享平臺(tái)

了解美國(guó)漏洞數(shù)據(jù)庫(kù)

理解“七界”分類(lèi)法

理解 Web 應(yīng)用漏洞 Top 10

知識(shí)子域：軟件安全編碼原則

理解常見(jiàn)的安全編碼實(shí)踐原則，如：規(guī)范編碼、代碼簡(jiǎn)潔、處理警告、驗(yàn)證輸入、凈化數(shù)據(jù)、最少反饋、檢查返回、加強(qiáng)檢查、安全編譯

3.4.2 知識(shí)域：安全編程基礎(chǔ)

知識(shí)子域：防范緩沖區(qū)溢出

理解緩沖區(qū)溢出的概念和成因

理解緩沖區(qū)溢出導(dǎo)致的后果

掌握防范緩沖區(qū)溢出的方法

知識(shí)子域：防范整數(shù)溢出

理解整數(shù)溢出的概念和成因

掌握避免整數(shù)溢出的方法

知識(shí)子域：處理競(jìng)爭(zhēng)條件

理解競(jìng)爭(zhēng)條件問(wèn)題的概念和后果

掌握處理競(jìng)爭(zhēng)條件的解決方法

知識(shí)子域：正確處理異常

理解異常處理不當(dāng)?shù)那樾魏秃蠊?

理解通用異常處理的編碼建議

知識(shí)子域：防范交互參數(shù)安全問(wèn)題

了解環(huán)境變量的安全隱患和應(yīng)對(duì)方法

理解防范文件名和文件內(nèi)容攻擊的安全措施

了解對(duì)命令行數(shù)據(jù)的安全檢查

知識(shí)子域：防范拒絕服務(wù)攻擊

了解拒絕服務(wù)攻擊的目的

理解拒絕服務(wù)攻擊的應(yīng)對(duì)措施

3.4.3 知識(shí)域：Web 應(yīng)用安全編程

知識(shí)子域：防范 SQL 注入攻擊

理解 SQL 注入的原理與條件

掌握防范 SQL 注入的常用方法

知識(shí)子域：防范 XSS 跨站腳本攻擊

理解跨站腳本攻擊的原理

理解跨站腳本攻擊的攻擊形式

掌握防御 XSS 跨站腳本攻擊的方法

知識(shí)子域：避免重定向漏洞

理解造成重定向漏洞的原因

理解重定向漏洞的解決方法

知識(shí)子域：避免跨站請(qǐng)求偽造漏洞

理解跨站請(qǐng)求偽造漏洞的原理

了解 CSRF 攻擊的流程及實(shí)現(xiàn)

理解 CSRF 攻擊的防御方法

3.4.4 知識(shí)域：數(shù)據(jù)安全編程

知識(shí)子域：常用密碼算法和接口庫(kù)

了解密碼算法的選擇方法

理解常用密碼庫(kù)

了解我國(guó)商用密碼算法接口

知識(shí)子域：隨機(jī)數(shù)生成

理解緩沖區(qū)溢出、整數(shù)溢出等攻擊的成因與危害

掌握輸入驗(yàn)證、替換危險(xiǎn)的函數(shù)等防御措施

知識(shí)子域：選擇加密算法

理解選擇加密算法的注意事項(xiàng)

理解編寫(xiě)加密代碼的正確流程

知識(shí)子域：密鑰生成和使用

了解密鑰管理方面易犯的錯(cuò)誤

理解密鑰管理應(yīng)當(dāng)遵循的策略

知識(shí)子域：加鹽哈希計(jì)算

了解哈希算法和鹽值的概念

理解加鹽哈希算法的運(yùn)算原理

理解保證哈希計(jì)算安全強(qiáng)度的方法

以上就是希賽小編為大家整理的CISD知識(shí)點(diǎn)：軟件安全編碼，希望能對(duì)正在備考的考生有幫助！