這應該是我最後一次教趨勢的 Engineer Training Program: Writing Secure Code 在今天把成績送出去之後，留一下紀念 這原本是從 Microsoft 的 Writing Secure Code, Second Edition 找一些教材出來上。 但是有一些東西不見得要看，也有一些更重要的東西想多說一下。 幾次作業分別是包含 Buffer Overflow SQL Injection CSRF XSS Password Storage Threat Modeling 我自已比較喜歡的幾點是 用 gdb 觀察 buffer overflow 的狀況，跟設計 payload 用 Flask 做簡單的 web framework 實際請同學玩 blind sql injection，也可以試試看 sqlmap 使用 SQLAlchemy 跟 MySQL-Python 避免 SQL Injection 讓他們實際使用…