GB/T 39412-2020 信息安全技术代码安全审计规范
Information security technology – Audit specification of code security
主要内容
术语和定义
1 代码安全审计 code security audit
代码安全审计是一种评估和检查软件代码安全性的过程,旨在发现潜在的安全漏洞、缺陷和风险,以确保软件系统的安全性和可靠性。
2 安全缺陷 security defect
全缺陷是指在软件、系统或网络中存在的可能导致安全风险的不足之处。
3 跨站脚本攻击 cross site script
跨站脚本攻击(Cross-Site Scripting,简称 XSS)是一种常见的网络安全漏洞,攻击者向 Web 页面里面插入恶意 HTML 代码,当用户浏览该页面时,嵌入到 Web 里面的 HTML 代码会被执行,从而达到攻击者的特殊目的。
攻击方式:反射型 XSS、存储型 XSS、DOM 型 XSS
4 缓冲区溢出 buffer overflow
缓冲区溢出(Buffer Overflow)是一种在计算机程序中存在的安全漏洞。当向程序的缓冲区写入超出其长度的内容,从而破坏程序堆栈,使程序转而执行其他指令,以获取程序或系统的控制权。
5 死锁 deadlock
两个或两个以上的进程在执行过程中,因竞争资源或彼此通信而造成的一种阻塞现象。
6 错误 error
系统运行中出现的可能导致系统崩溃或者暂停运行的非预期问题。
7 特殊元素 special elements
用于特定表达式或语言中分隔数据不同部分的字节、字符或字的序列。
8 异常 exception
导致程序中断运行的一种指令流。
注:如果不对异常进行正确的处理,则可能导致程序的中断执行。
9 SQL 注入 SQL injection
将恶意 SQL 命令插入数据库请求参数,并提交给数据库执行的攻击行为。
下列缩略语适用于本文件。
API:应用程序编程接口 (Application Programming Interface)
CSPRNG:伪随机数产生器(Cryptographically Secure Pseudo-Random Number Generator)
DNS:域名系统(Domain Name System)
HTML:超文本标记语言(Hyper Text Markup Language)
HTTP:超级文本传输协议(HyperText Transfer Protocol)
SQL:结构化查询语言(Structured Query Language)
URL:统一资源定位符(Uniform Resource Locator)
暂无评论内容