C和C++安全編碼

　　本書是關(guān)于C和C++安全編碼的著作。本書介紹了C和C++程序中已經(jīng)導(dǎo)致危險(xiǎn)的、破壞性的基本編程錯(cuò)誤，包括在字符串、指針、動(dòng)態(tài)內(nèi)存管理、整數(shù)、格式化輸出、文件I/O等中的漏洞或缺陷。本書還提供了對(duì)這些編程錯(cuò)誤的深入剖析，并給出緩解策略，以減少或消除惡意利用漏洞的風(fēng)險(xiǎn)。本書適合C/C++程序員、軟件安全工程師參考。洞悉軟件漏洞的成因，熟知規(guī)避之道通常而言，可利用的軟件漏洞都由本可避免的軟件缺陷所導(dǎo)致。在分析了過去10年中近18000份漏洞報(bào)告后，CERT/CC發(fā)現(xiàn)少量的根本原因?qū)е铝诉@些漏洞的產(chǎn)生。本書識(shí)別并解釋了這些原因，而且展示了預(yù)防利用漏洞的步驟。此外，本書還鼓勵(lì)程序員采用最佳安全實(shí)踐，并培養(yǎng)安全的開發(fā)理念，這不但有助于保護(hù)軟件免遭當(dāng)前的攻擊，更可使它們免遭將來可能發(fā)生的攻擊?；贑ERT/CC的報(bào)告和總結(jié)，Robert Seacord系統(tǒng)地揭示了最可能導(dǎo)致安全缺陷的編程錯(cuò)誤，展示了這些缺陷的利用方式，介紹了可能導(dǎo)致的后果，并提供了安全的替代做法。本書特別討論了如下技術(shù)細(xì)節(jié)：改善任何C/C++應(yīng)用程序的整體安全性。抵御利用不安全的字符串操作邏輯的緩沖區(qū)溢出和棧粉碎攻擊。避免因?qū)?dòng)態(tài)內(nèi)存管理函數(shù)的不當(dāng)使用而導(dǎo)致的漏洞和安全缺陷。消除與整數(shù)相關(guān)的問題，包括整數(shù)溢出、符號(hào)錯(cuò)誤以及截?cái)噱e(cuò)誤等。正確地使用格式化輸出函數(shù)，避免引入格式字符串漏洞。避免I/O漏洞，包括競(jìng)爭(zhēng)條件等。本書提供了許多針對(duì)Windows和Linux的安全代碼、不安全代碼以及利用程序的例子。如果你負(fù)責(zé)創(chuàng)建安全的C或C++軟件，或者需要保持這類軟件的安全性，本書為你提供了詳盡的專家級(jí)協(xié)助。在這方面，其他任何書籍都望塵莫及。

　　Robert C.Seaco rd是賓夕法尼亞州匹茲堡市SEI（SoftwareEngineering Institute，軟件工程研究院）的CERT／CC（CERT／Coordination Center，CERT協(xié)調(diào)中心）高級(jí)漏洞分析師。CERT／CC定期對(duì)軟件漏洞報(bào)告進(jìn)行分析，并且評(píng)估互聯(lián)網(wǎng)及其他關(guān)鍵的基礎(chǔ)設(shè)施可能遭受的風(fēng)險(xiǎn)，此外還從事其他一些與安全有關(guān)的研究活動(dòng)。作為一名涉獵廣泛的技術(shù)專家，Robert還是《Building Sy stems from Commercial Components》（Addison—Wesley，2002）和《Modernizing Legacy Systems》（Addison—Wesley，2003）的合著者，并發(fā)表T40多篇論文，領(lǐng)域涉及軟件安全、基于組件的軟件工程、基于Web的系統(tǒng)設(shè)計(jì)、遺留系統(tǒng)的現(xiàn)代化改造、組件倉庫與搜索引擎以及用戶界面設(shè)計(jì)與開發(fā)等。Robert于1982年起在IBM開始職業(yè)編程生涯，從事通信和操作系統(tǒng)軟件研發(fā)、處理器開發(fā)以及軟件工程。Robert還為x協(xié)會(huì)（X Consortium）工作，為CDE（Common DesktopEnvironment，公共桌面環(huán)境）和x Window系統(tǒng)開發(fā)和維護(hù)代碼。他還積極參與JTCl／SC22／WGl4的C語言國(guó)際標(biāo)準(zhǔn)化工作組工作。