“注册信息安全开发人员”,英文为 Certified Information Security Developer ,简称CISD,系经中国信息安全测评中心认定的信息安全开发人员,具备一定的软件安全开发知识和技术,能为软件全生命周期中提供安全保障。
重点!CISD与CISP的关系是从属,CISD认证属于CISP,通过CISP考试之后,考生可以申请注册CISD证书。
3.4.1 知识域:软件漏洞与编码原则
知识子域:软件漏洞含义及分类
了解中国信息安全漏洞库
了解信息安全漏洞共享平台
了解美国漏洞数据库
理解“七界”分类法
理解 Web 应用漏洞 Top 10
知识子域:软件安全编码原则
理解常见的安全编码实践原则,如:规范编码、代码简洁、处理警告、验证输入、净化数据、最少反馈、检查返回、加强检查、安全编译
3.4.2 知识域:安全编程基础
知识子域:防范缓冲区溢出
理解缓冲区溢出的概念和成因
理解缓冲区溢出导致的后果
掌握防范缓冲区溢出的方法
知识子域:防范整数溢出
理解整数溢出的概念和成因
掌握避免整数溢出的方法
知识子域:处理竞争条件
理解竞争条件问题的概念和后果
掌握处理竞争条件的解决方法
知识子域:正确处理异常
理解异常处理不当的情形和后果
理解通用异常处理的编码建议
知识子域:防范交互参数安全问题
了解环境变量的安全隐患和应对方法
理解防范文件名和文件内容攻击的安全措施
了解对命令行数据的安全检查
知识子域:防范拒绝服务攻击
了解拒绝服务攻击的目的
理解拒绝服务攻击的应对措施
3.4.3 知识域:Web 应用安全编程
知识子域:防范 SQL 注入攻击
理解 SQL 注入的原理与条件
掌握防范 SQL 注入的常用方法
知识子域:防范 XSS 跨站脚本攻击
理解跨站脚本攻击的原理
理解跨站脚本攻击的攻击形式
掌握防御 XSS 跨站脚本攻击的方法
知识子域:避免重定向漏洞
理解造成重定向漏洞的原因
理解重定向漏洞的解决方法
知识子域:避免跨站请求伪造漏洞
理解跨站请求伪造漏洞的原理
了解 CSRF 攻击的流程及实现
理解 CSRF 攻击的防御方法
3.4.4 知识域:数据安全编程
知识子域:常用密码算法和接口库
了解密码算法的选择方法
理解常用密码库
了解我国商用密码算法接口
知识子域:随机数生成
理解缓冲区溢出、整数溢出等攻击的成因与危害
掌握输入验证、替换危险的函数等防御措施
知识子域:选择加密算法
理解选择加密算法的注意事项
理解编写加密代码的正确流程
知识子域:密钥生成和使用
了解密钥管理方面易犯的错误
理解密钥管理应当遵循的策略
知识子域:加盐哈希计算
了解哈希算法和盐值的概念
理解加盐哈希算法的运算原理
理解保证哈希计算安全强度的方法
以上就是希赛小编为大家整理的CISD知识点:软件安全编码,希望能对正在备考的考生有帮助!
