Secure Coding Techniques
.gif "A hyphen indicates that the information in this topic is not relevant for this platform, or that the platform does not support the API that is listed.")
.gif "A checkmark indicates that the information in this topic is relevant for this platform, and that any API listed is also supported on this platform.")
9/8/2008
O catálogo Gravando código seguro por Michael Howard e David LeBlanc, pressione Microsoft, 2002, é uma origem excelente de Seguro programação as práticas recomendadas. O catálogo aborda as vulnerabilidades de aplicativos para mal-intencionado ataques e mostra exemplos de defeitos codificar.
Uma importante emitir abordadas no catálogo e geralmente ignorado pelo aplicativo desenvolvedores é saturações reserva. Você deve evitar usar o seguinte c/funções C++. Essas funções podem causar reserva saturações e causar o aplicativo falha ou codificar habilitar para ser injetado em seu espaço processo:
- strcpy
- strcat
- memcpy
- Obtém
- sprintf
- scanf
Tome cuidado principalmente se você chamar qualquer um das funções listadas para copiar dados em uma reserva stack-Based. Geralmente, é muito mais fácil para executar mal-intencionado codificar quando a reserva é alocada na pilha, rather than memória alocada no heap. Para informações sobre funções Strsafe que são alternativas para o padrão c/funções seqüência de caracteres C++, consulte Funções de Segurança seqüência de caracteres. Habilitar funções Strsafe a manipulação segura de seqüências de caracteres e são recomendados para maior segurança para seu aplicativo.
Como o original Equipment Manufacturer ou desenvolvedor do aplicativo, você pode usar aplicativos exemplo que vêm com o Construtor de plataforma para rapidamente compilar e testar seu aplicativo ou sistema operacional. Para proteger contra vulnerabilidade de segurança, antes enviar, você deve substituir os exemplos com seu próprio código do aplicativo que fornece o apropriado segurança nível necessário.