软件安全原理与技术

相关资料

网络上的课程大纲：课程大纲.pdf

教案：软件安全原理与技术教案.doc

安全测试流程

相关博客：https://blog.csdn.net/qq_39846344/article/details/106970630

软件安全基础

计算机存储空间原理

• Windows/Linux 操作系统中进程的内存布局
  相关博客：
  • https://blog.csdn.net/qq_37655329/article/details/121495298
  • https://zhuanlan.zhihu.com/p/348171413
• 虚拟地址及其转译
  相关博客：https://blog.csdn.net/daocaokafei/article/details/116176769
• 操作系统对内存的分配和管理
  相关博客：https://zhuanlan.zhihu.com/p/495709005

指令系统

• 数的机器编码及表示
  相关博客：https://blog.csdn.net/meng4411yu/article/details/8668625
• 指令系统的基本概念
  相关博客：https://blog.csdn.net/A12115419/article/details/121143165
• 8086/8088 指令系统初步
  这个课程应该在《微机原理》或《微机原理与接口技术》中学习
  相关博客：
  • https://www.zhihu.com/market/pub/119988825/manuscript/1284124373377261568
  • https://blog.csdn.net/Newin2020/article/details/125458106

其他

• 软件安全概述
  相关博客：https://blog.csdn.net/orchid_sea/article/details/123629145
• XSS注入
  相关博客：https://blog.csdn.net/qq_37019068/article/details/120674280
• CSRF注入
  相关博客：https://zhuanlan.zhihu.com/p/398601816
• HTML安全
  相关博客：https://zhuanlan.zhihu.com/p/63701174
• SQL注入原理
  相关博客：https://zhuanlan.zhihu.com/p/625412460
• 文件上传漏洞
  相关博客：
  • https://blog.csdn.net/qq_33181292/article/details/120296254
  • https://blog.csdn.net/qq_43390703/article/details/104858705
• XXE漏洞
  相关博客：https://www.cnblogs.com/mysticbinary/p/12668547.html
• 文件包含漏洞
  相关博客：https://zhuanlan.zhihu.com/p/399436256

软件漏洞利用与防护

软件漏洞相关

• 传输层安全
  相关博客：https://zhuanlan.zhihu.com/p/381102083
• DDOS攻击
  相关博客：https://info.support.huawei.com/info-finder/encyclopedia/zh/DDoS攻击.html
• ARP欺骗
  相关博客：https://blog.csdn.net/qq_43431158/article/details/109343655
• 漏洞评级原则
  相关博客：
  • https://blog.csdn.net/chenlijian/article/details/115006677
  • https://blog.csdn.net/fuhanghang/article/details/109756207

缓冲区溢出类漏洞

• 缓冲区概念和管理
  相关博客：
  • https://zhuanlan.zhihu.com/p/569138838
  • https://blog.csdn.net/qq_44096670/article/details/121632471
  • https://zhuanlan.zhihu.com/p/533321012
• 栈溢出的原理、堆溢出的原理
  相关博客：https://blog.csdn.net/IronmanJay/article/details/137125380
• 进程的堆空间的构造和堆结构的维护
• 越界访问类漏洞及其与缓冲区漏洞的异同
• 堆表结构与回收机制
  相关博客：https://blog.csdn.net/hello_nick_xu/article/details/84652396
• 恶意代码种类以及分析环境介绍
  相关博客：https://cloud.tencent.com/developer/article/2395967
• 安全软件开发生命周期简介
  相关博客：https://blog.csdn.net/Karka_/article/details/132117430

格式化字符串漏洞和类似的 Web 攻击

• 格式化字符串漏洞的原理和潜在的后果
• SQL 注入漏洞的原理及其利用方式
• 跨站脚本和跨站请求伪造

软件漏洞的利用

• 代码注入及其 Shellcode 的寻址实现方式
• Ret2Libc 和返回导向编程(ROP)等前沿 Shellcode 编码的原理
• 返回导向编程的演进和变种

操作系统安全机制及漏洞防护技术

• 漏洞挖掘技术的基本类别
• 主流操作系统针对代码注入的防护机制
• 现有的栈溢出检测方法及其不足之处
• 地址空间随机化(ASLR)的原理、缺陷以及针对 ASLR 的攻击手段
• 控制流完整性保护(CFI)的基本思想、前沿方法和根本性弱点

恶意代码的机理及其防护

传统恶意代码

• 计算机病毒的特点、主要类型与传播方式
  相关博客：https://developer.baidu.com/article/details/2951000
• 网络蠕虫的结构及其所涉及的关键技术
  相关博客：
  • https://blog.csdn.net/qq_43874317/article/details/126764870
  • https://wenku.baidu.com/view/984bcb20af45b307e8719720.html?_wkts_=1712628759510
• 木马的概念、木马与远端的通信方式、木马与后门的区别
  相关博客：https://blog.csdn.net/daibaohui/article/details/113889229

Rootkit 与智能手机恶意代码

• Rootkit 的基本概念与核心技术
  相关博客：https://zhuanlan.zhihu.com/p/637364586
• 智能手机恶意软件基础及其前沿发展趋势
  相关文件：基于软件分析的Android应用重打包检测与防御研究.pdf
• 重包装攻击及其与智能手机恶意软件的关系

恶意代码的检测与防护

这里的内容可以在《网络安全》中学习到

• 恶意代码的潜在载体、恶意代码样本的捕获
  相关博客：https://blog.csdn.net/bylfsj/article/details/104188945
• 前沿的恶意代码检测技术与重包装攻击检测方法介绍
  相关博客：https://cloud.tencent.com/developer/article/1909161

软件自我保护

软件自我保护综述

• 传统的软件自我保护机制概述
  相关博客：
  • https://cloud.tencent.com/developer/article/2271141
  • https://blog.csdn.net/weixin_47102975/article/details/126823212
• MATE 攻击的概念、所依赖的技术和工具及其与软件漏洞利用的区别
  相关博客：https://www.x-mol.com/paper/1416921938049835008
• 用于对抗 MATE 攻击的软件自我保护技术的主要分类

代码混淆

• 代码混淆概念和作用
• 代码混淆的对象
• 代码混淆的“虚拟黑盒”安全目标及其不可能性
• 现存的前沿代码混淆方法的原理及其不足之处

相关博客：https://zhuanlan.zhihu.com/p/461944477

软件防篡改

• 软件防篡改的安全目标及其与代码混淆的区别
• 现有软件防篡改技术及其主要问题所在

相关博客：

• https://zhuanlan.zhihu.com/p/654685976
• https://zhuanlan.zhihu.com/p/21276527

软件水印

• 软件水印的概念、软件水印与一般的数字水印的异同
• 软件水印的主要分类
• 前沿软件水印设计简介以及软件水印技术目前尚无法解决的问题