安全程式碼撰寫(Secure coding)是依照安全指引開發電腦軟體,避免引入漏洞的軟體開發實務。設計缺陷、程序错误及邏輯謬誤是最常被利用軟體漏洞的主要原因。若識別出這些不安全的程式碼撰寫實務,教育程式設計師改用較安全的軟體寫法,組織可以有主動的措施,在程式佈置之前就消除或大幅減少軟體漏洞。...
7 KB (929 words) - 11:30, 16 February 2025
程式設計師會用提示描述要處理的問題,提供給軟體開發專用的大型语言模型(LLM)。应用程序的原始碼是由大型语言模型產生,程式設計師的工作從原來的撰寫程式碼,改為指導AI產生程式碼,測試及優化程式碼。Vibe coding的提倡者認為這甚至可以讓新手程式...
11 KB (1,142 words) - 00:59, 29 April 2025
行動程式碼(Mobile code)是一種軟體技術可由遠程系統透過另一個網路轉存入本機端進行代理作業,可進行下載或在本機端上執行沒有明確安裝或者接受者的作業。行動程式碼的例子包括嵌入型脚本(JavaScript、VBScript)、Java小應用程式、ActiveX...
3 KB (302 words) - 14:53, 5 February 2024
本地运行的shellcode经常用于利用软件漏洞提升权限。比如在Linux下由普通权限提升至root权限。 通過使用抓包程式抓取封包并查找封包内的漏洞特徵,再經由C、Python、ruby (metasploit)撰寫遠端攻擊程式,這類漏洞如果發生在內核空間,如路由器等嵌入式系統上的可載入核心模組,或是伺服器訊息區塊協議的...
1 KB (214 words) - 04:49, 17 July 2024
程式,以改變程式的執行進程或目的。代碼注入攻擊的結果可以是災難性的。例如說:代碼注入可作為許多電腦蠕蟲繁殖的溫床。 舉例說,有一間公司的網頁伺服器上有一個簽名簿的程式碼,用來讓用戶發表簡短的口信,例如: Nice site! 不過,這個程式碼原來有跨網站指令碼...
18 KB (2,414 words) - 12:14, 2 November 2024
設計審查。在編寫程式碼之前,可以檢查應用程式的架構與設計是否存在安全性問題。此階段常用的技術是創建威脅模型。 白盒安全審查,或程式碼審查。這是透過一位安全工程師以手動方式深度查看原始程式碼,以發現安全漏洞。透過對應用程式的理解,可以發現應用程式特有的漏洞。 黑盒安全稽核。透過使用工具來測試應用程式的安全漏洞,不需要原始程式碼。...
10 KB (1,143 words) - 09:01, 16 June 2023
腦存取控制的方法,用户要通過兩種以上的認證機制之後,才能得到授權,使用電腦資源。例如,使用者要輸入PIN碼,插入銀行卡,最後再經指紋比對,通過這三種認證方式,才能獲得授權。這種認證方式可以提高安全性。 多重要素验证的概念也广泛应用于计算机系统以外的各领域。例如许多国家使用的自助出入境檢查系統允许旅客...
5 KB (535 words) - 08:12, 5 January 2025
安全漏洞的自动化程序。除了搜索特定網路应用程序的漏洞外,这些工具还可以檢查程式错误。” 網路应用程序漏洞扫描程序可以在应用程序中对程式进行更正,也可能需要针对特定的網路应用程序漏洞应用自定义策略以提供临时緊急修复(称为虚拟补丁)。 WAF 并不是安全解决方案的萬靈藥,而是旨在与其他网络外围安全...
9 KB (994 words) - 02:10, 17 January 2024
垃圾郵件:以電子郵件包裝著惡意木馬程式的電子郵件入侵受害者電腦,例如主旨為美國總統大選結果的電子郵件附件卻包含惡意木馬程式。 惡意軟體。 美国前头号黑客密凯文(Kevin David Mitnick)著有安全著作《反欺骗的艺术(英语:The Art of...
9 KB (1,044 words) - 11:33, 2 November 2024
许多安全漏洞是程序错误导致的,此时可叫做安全錯誤(英語:Security bug),但并不是所有的安全隐患都是程序安全錯誤导致的。 複雜:大型的複雜系統會增加缺陷以及未預期文件系统权限的可能性。 熟悉:使用常見、著名的程式,軟體,作業系統及硬體,若沒有經常更新系統,容易被攻擊者找到缺陷進行攻擊....
7 KB (765 words) - 12:06, 1 March 2025
產生。不過也有觀點認為平台上的軟體,其風險比客戶撰寫的軟體要低,因為會由不同應用程式的使用來確認程式的情形。無程式碼開發平台允許平台對用戶隱藏所有在後端進行的事務,因此終端客戶可以在不影響平台應用程式機能,也不影響資料安全性的情形下,依平台應用程式撰寫其需要機能。...
12 KB (1,275 words) - 08:26, 2 May 2024
安全的网络和公共基础设施、安全的应用软件和数据库、安全测试、信息系统评估、企业安全规划以及数字取证技术等等。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有未授权的操作等行为。 信息安全这一术语,与计算机安全和信息保障(information...
11 KB (1,483 words) - 08:12, 21 March 2025
防火墙 (category 网络安全)
路間與網際網路或互聯網的一道防禦系統,借由控制過濾限制訊息來保護內部網路資料的安全。 針對普通用戶的個人防火牆,通常是在一部電腦上具有封包過濾功能的軟體,如ZoneAlarm及Windows XP SP2後內建的防火牆程式。而專業的防火牆通常為網路設備,或是擁有2個以上網路介面的電腦。以作用的TCP...
11 KB (1,624 words) - 17:22, 3 May 2025
程式碼開發平台,會讓影子IT所構建,一般IT不支援的應用程式越來越多。 無程式碼開發平台(英語:No-Code Development Platform,簡稱NCDP)類似低程式碼開發平台,利用後者開發可能會需要撰寫少量程式碼,利用無程式碼開發平台開發時,完全不需要撰寫程式碼。...
14 KB (1,396 words) - 17:05, 10 June 2022
隨著資訊科技的進步,開發環境越來越複雜,而應用程式開發的安全性也更有挑戰。不論應用程式、系統或是網路,都持續的受到許多不同的安全攻擊,像是惡意程式碼或是阻斷服務攻擊。有些挑戰是來自網站的,例如病毒、木馬程式、邏輯炸彈、電腦蠕蟲、agents及applets等 應用程式中可能會包括漏洞,可能是軟體工程師刻意引入的,也有可能是意外造成的。...
6 KB (913 words) - 23:05, 13 April 2024
安全標準,或是產業的安全標準。這會透過差距分析(gap analysis)來進行,也會用到build審查、程式碼審查,同時審查設計文件以及架構圖。此活動不會用到之前各階段(探索、漏洞掃描、漏洞評估、安全評估、滲透測試及安全稽核)的產出。 容器及基础设施安全分析 SAST(靜態應用程式安全測試,Static...
7 KB (876 words) - 08:06, 30 December 2023
计算机安全技术的基础是逻辑学。安全性并非是大部分的计算机应用的主要目的,而在设计时就考虑程序的安全性常常会对程序的运行有所限制。 在计算机应用上有四种安全设定,通常会结合使用: 信任所有软件都遵守安全策略,但软件本身不可信。 信任所有软件都遵守安全策略,并且该软件也被证实为可信的...
7 KB (974 words) - 12:24, 13 November 2023
安全缺陷或安全錯誤(security bug)是指會導致電腦系統中未授權的存取或是特權的程序错误。安全缺陷會影響以下的機制(可能影響一項或多項),因此產生漏洞: 用户或是其他實體的身份验证 有關存取控制及特权的授權 資料保密 数据完整性 安全缺陷不一定會被識別出來,就算沒有被利用,仍然算是安全...
3 KB (343 words) - 15:08, 5 March 2025
身份验证的方法有很多,基本上可分为:基于共享密钥的身份验证、基于生物学特征的身份验证和基于公开密钥加密算法的身份验证。不同的身份验证方法,安全性也各有高低。 認證(英語:Authentication)的字根源自古希臘語:αὐθεντικός,意為真實、真正的,以及古希臘語:αὐθέντης,意為權威者,或親手製作者。...
3 KB (400 words) - 16:44, 2 March 2025
最早的計算機程式碼是針對他們的應用面設計的。例如,阿隆佐·邱奇曾以公式化(formulaic)的方式表達λ演算。图灵机是一種紙帶標記(tape-marking)機器(就像電話公司用的那種)操作方法抽象化後的集合。图灵机這種透過有限數字(finite number)呈現機器的方式,奠定了程式...
18 KB (2,499 words) - 07:59, 18 June 2024
加密 (category 网络安全)
之前所有加密方案都是对称密钥加密(也称为私钥)。 加密可以用于保证安全性,但是其它一些技术在保障通信安全方面仍然是必须的,尤其是关于数据完整性和信息验证。例如,訊息鑒別碼(MAC)或者数字签名。 加密或软件编码隐匿(Code Obfuscation)同时也在软件版权保...
8 KB (1,259 words) - 08:46, 23 December 2024
钓鱼式攻击 (category 网络安全)
碼)的問題尤其特別嚴重,因為它們導引用戶直接在他們自己的銀行或服務的網頁登入,在這裡從網絡位址到安全證書的一切似乎是正確的。而實際上,鏈接到該網站是經過擺弄來進行攻擊,但它沒有專業知識要發現是非常困難的。這樣的漏洞於2006年曾被用來對付PayPal。 還有一種由RSA信息安全...
78 KB (8,912 words) - 16:46, 30 December 2023
網路安全標準(Cybersecurity standards)是已用文件方式發佈,為了保護使用者或組織之電腦網路環境而訂定的技術。此處的「環境」包括使用者本身、網路,或是會直接或間接連接網路的設備、所有軟體、程序、儲存或是傳輸的資訊、應用程式、服務以及系統。 網路安全...
20 KB (2,605 words) - 11:15, 20 February 2024
软件设计是程式設計師按照特定顺序撰寫计算机数据和指令的集合。“软件设计”可以是撰寫最基礎的二进制0和1位元;也可以是建立在位元之上的各类软件语言(Python、HTML、Java等)、算法、架构、程序、图像化程式碼来进行。 (可供参考) 扩展性 - 考虑系统未来追加新功能是否方便,便宜 健壮性 - 系统的容错能力...
1 KB (158 words) - 11:50, 1 February 2025
汽車網路安全(Automotive security)是指和汽車電子相關的计算机安全領域。由於汽車內的电子控制器(ECU)越來越多,車內各種不同的通訊協定,以及越來越多遙控和無線通訊的需求,也越來越可能受到網路相關的安全威脅,因此從计算机安全和網路安全再衍生出針對車輛的分支領域。...
15 KB (1,884 words) - 11:09, 16 July 2024
相較於程式設計師撰寫的程式碼,領域特定語言的效率可能會比較低。 同一領域可能有計多種非標準語言,例如不同保險公司開發、使用的領域特定語言。 非技術背景的領域專家不容易自行撰寫或修改領域特定語言的程式。 領域特定語言和(用通用語言撰寫的)IT系統其他模組不易整合。...
9 KB (1,368 words) - 08:46, 8 February 2024
engine),是指利用多型程式碼(英语:polymorphic code)修改通訊傳輸的資料,但仍維持其原有功能的軟體模組(軟體引擎)。 多型引擎絕大多數用在惡意程式裡,目的是避免防毒軟體的偵測。其作法可能是將惡意資料加密或是代码混淆。 常見的作法是將惡意程式加到正常電腦檔案(例如office文件)的file...
1 KB (123 words) - 06:38, 4 February 2025
网络攻击 (category 電腦安全)
现代社会对日益复杂和互联的计算机系统的依赖性不断增加,这导致了网络攻击脆弱性的激增。几乎所有计算机系统都存在可能被攻击者利用的漏洞,使得构建一个完全安全的系统几乎不可能。 网络攻击的实施者背景多样,包括个人犯罪分子、黑客组织以及国家支持的团体。他们的目标是识别并利用系统中的弱点,通常通过创建和传播恶...
32 KB (5,095 words) - 06:31, 26 November 2024
的後端程式碼在分散的點對點網路上運行,而不是後端程式碼在集中式伺服器上執行的典型應用程式。一個 DApp 可以有任何可以呼叫其後端的語言撰寫的前端程式碼和用戶界面。DApps 已用於去中心化金融 (DeFi),其中 Dapps 在區塊鏈上執行金融功能。 所有 DApp 都有一個識別程式碼,該程式碼只能在特定平臺上執行。並非所有...
23 KB (2,459 words) - 12:15, 9 February 2025
碼中,從而瓦解該病毒的作用。兩人並且實作了一隻概念驗證的實驗性病毒,在Macintosh SE/30電腦上使用RSA及TEA演算法加密資料。他們將這種行為稱作明顯的「加密病毒勒索」(cryptoviral extortion),屬於現今稱作加密病毒學中的一個分支。 兩人在1996年的IEEE安全與隱私研討會(IEEE...
66 KB (5,915 words) - 13:22, 26 March 2025
漏洞扫描器 (category 计算机安全小作品)
port)、证书和其他主机信息並給出漏洞报告以及有关操作系统和已安装软件的详细而准确的信息,例如配置问题和系統所缺少的安全补丁。 電腦緊急應變團隊 資訊安全 移動安全 動態應用程式安全測試 滲透測試 National Institute of Standards and Technology. Technical...
1 KB (155 words) - 09:30, 12 June 2023