這應該是我最後一次教趨勢的 Engineer Training Program: Writing Secure Code
在今天把成績送出去之後,留一下紀念
這原本是從 Microsoft 的 Writing Secure Code, Second Edition 找一些教材出來上。
但是有一些東西不見得要看,也有一些更重要的東西想多說一下。
幾次作業分別是包含
- Buffer Overflow
- SQL Injection
- CSRF
- XSS
- Password Storage
- Threat Modeling
我自已比較喜歡的幾點是
- 用 gdb 觀察 buffer overflow 的狀況,跟設計 payload
- 用 Flask 做簡單的 web framework
- 實際請同學玩 blind sql injection,也可以試試看 sqlmap
- 使用 SQLAlchemy 跟 MySQL-Python 避免 SQL Injection
- 讓他們實際使用 Jinja2 與 underscore.js 的 template escaping
- 使用 jquery-validation 做前端表單的驗證
- 使用 Flash-WTF 做表單的驗證及 CSRF 保護
- 簡介一下 GPU brute force attack 跟 bcrypt, scrypt 及 PBKDF2
老實說自己玩的蠻開心的,唯一的缺點就是不能花工作的時間做,所以常常是假日的時候繼續來公司做。
有興趣的話可以直接看一下底下的鏈結。
Git Repo
https://bitbucket.org/yhchan/trend-etp-writing-secure-code
2 responses to “Trend Writing Secure Code Materials”
怎麼這麼豐富阿!
>//////<