说三道四技术文摘-感悟人生的经典句子
说三道四 > 文档快照

招聘开发者常见的九大误区

HTML文档下载 WORD文档下载 PDF文档下载
很多公司在招聘自由职业者和长期性的开发者时往往会忽略他们的安全知识,这是个致命的错误。要知道,正因为你的不小心,最终可能因聘请一位网络新手而给你的代码库带来致命性的灾难。

很多公司在招聘自由职业者和长期性的开发者时往往忽略了他们的安全知识,这是个致命的错误。通常在面试过程中,面试官会站在应聘者能否写出优美的代码角度进行考虑,大多数情况下忽略了安全知识——但也不排除在其离开前会提出关于漏洞方面几个粗浅的问题。仅仅如此是绝对不够的!要知道,正因为你的不小心,最终可能会聘请因一位网络新手而给你的代码库带来致命性的灾难,或者至少会让你失望(花费你大量的时间和金钱)。因此,千万不要犯这样的错误!

许多开发者缺乏对安全知识的理解和经验运用。在面试过程中,如果你发现应聘者有这方面的迹象,那么你需要进一步挖掘并注意提防。你可以提示应聘者应该怎么做来确保网站的安全以及为什么要这么做或者在创建某个网站时应该注意哪些安全问题?

本文列举了九大误解,或许这些误解在你的工作生涯中也曾见识过,我们一起来看下。


一、如果我们使用Web框架,那么不必担心安全问题。

一些流行的框架比如Rails和 Django在编写之初已考虑到安全性问题,并帮助防止常见的漏洞问题。然而,它们并不能阻止业务逻辑出现的缺陷,比如设置产品数量为负数,这就可能给攻击者提供了机会。如果你以非常规的方式使用该框架,它们会努力去保护你,此外,许多安全功能需要由开发者手动实现。

二、我不是很有趣,没人想要攻击我

即便你的公司或应用不是很有价值,访问者或者黑客也可能会攻击您的网站。如果你的网站能够被搜索引擎检索到,并且还有常见的漏洞,那么你的网站已不安全了,已经被攻击了。

比如,2008年,有一连串的自动ASPROX 蠕虫利用网站SQL注入漏洞,以致用户的电脑受到多个恶意脚本的攻击,直到今天仍然有许多网站受到影响。

三、我们已经有了备份,因此无后顾之忧。

尽管网站被攻击后,备份可以帮助你恢复,但它绝不是一个网站安全性良好的、可行性的替代方案。

遭到黑客临时被攻击的网站可能会导致严重的后果,比如,被搜索引擎列入黑名单,敏感的用户数据被盗,网络钓鱼或蠕虫攻击你的访客。此外,即使你把网站备份了,也不能保证其不会再发生了。

四、它是一个内部网络。所以,安全并不重要。

你永远也不能确保威胁不会来自某个雇员或者攻击者以某种方法来获得访问内部网络。

比如,公司内部的CRM或ERP的机密数据被心怀不满的初级员工或者因好奇心缺乏安全意识的员工、临时工因缺乏工作安全性而泄露?攻击者通过你的无线网或者互联网连接而获取网络访问?等等这些都会对你造成潜在威胁。

五、它是安全的,因为通过VPN连接。

尽管用户使用安全的网络连接到你的应用程序,但这并不意味着你的应用程序本身就是安全的。正如我们第四条谈到的内部网络(恶意员工和网络漏洞)。

六、网站使用SSL,因此,它很安全。

如果你的网站使用SSL,它会在你的网站和访问者浏览器之间传输加密数据,尽管它能防止他人拦截未加密的数据,但SSL却无法阻止攻击者利用漏洞来访问你的网站。

七、我想防火墙可以做到!

防火墙实施了一套规则能够控制访问者的IP地址或端口,但却无法阻止访问者利用漏洞访问你的网站。应用防火墙的作用是在HTTP请求级别上但不会查看请求的内容。当正确配置后,防火墙可以帮助减少特定的攻击,比如跨站点脚本或者SQL注入,但不会确保你免受攻击,无法解决根本性问题。更重要的是,黑客会采取很多方法来绕过Web应用防火墙。

八、我们做了渗透测试和源代码分析,因此不需要担心!

渗透测试和源代码分析是编写安全Web应用程序的基本组成部分,但它却不能“包治百病”。重要的是,你不能保证所有的漏洞都能被检测到,因此你需要确保编写安全代码。更重要的是,修复Bug是如此的昂贵,漏洞亦如此,你应该在渗透测试阶段尽可能多地查找漏洞。

九、热门书籍教你如何编写安全代码。

截止到目前,你几乎不可能找到有关编写安全代码方面的编程书籍。开发者利用这些书籍学会Web应用开发,但却无法做到编写安全的Web应用,除非他们已经经历某个应用被黑客攻击或者其在Web安全方面感兴趣。

误解只是个开始!

在招聘开发环节中,检查误解是极其重要的一步,开发者可以编写安全的代码,但这只是众多步骤中的第一步。文中提及的这九大误区,希望对你有所帮助。

英文出自:Scantosecure

PaaS玩家们,怎么演好自己的角色? Apple高管表态:低端机绝不是iPhone的未来 Web开发人员应该知道的IE 10兼容性问题 一周消息树:CES2013揭幕 科技巨头纷纷发力 2012专利排行榜 IBM位列第一、Google增长最快! 微软赞黑客并称Windows RT越狱非安全漏洞所致 周报第46期:GitHub历史上最糟糕宕机事故回放及反省 著名计算机黑客Aaron Swartz自杀身亡 移动周报:移动互联网行业技术趋势前瞻 旁门左道:让移动游戏下载量暴涨的邪门功夫 可植入身体:“可穿戴计算”时代来临 Web服务器份额:Apache仍居首,Nginx将超IIS 防税务欺诈:挪威财政部将开源收银机代码 响应式设计实战:3人+1.5个月 IE10优化版cnBeta诞生记 不听乔布斯劝告:“不专心”的Google照样干得好 躲过一劫!苹果不锁杂志类APP介绍截图 Oracle发布软件更新修复Java漏洞 设计师将吞噬工程师吗? 开源产品系列:小巧灵活的Web框架web.py Windows Server 2012 VHDX格式揭秘 Rovio将赶超Zynga 成为全球最受欢迎游戏公司 Netflix基于AWS的大数据平台Hadoop架构解析 微软开始提供Windows Embedded测试版系统 Aaron Swartz自杀原因存疑 引发互联网连锁反应 重金吸引开发者 BlackBerry10应用36小时增1.5万 把数据中心搬入“空间站” Dell和Intel对OpenStack新兴公司Mirantis投资 快讯:马云自5月10日起不再担任CEO职务 Web工程师必备的43款可视化工具 中国电信天翼开放平台2012年度数据:API调用量破亿 iOS走向开放:UC浏览器iPhone版实现云下载 一个form上有两个dbgrid,怎么判断我现在的焦点是在哪个 dbgrid上? 送给8。15继续在网络中漫步的朋友们的礼物! 关于数据库的使用 一个有关listview的问题,一直没解决,急! 有没有人装过MINIX啊 为什么我在查询分析器里执行时,没有时间限制,而在控制台里用同样的代码建一个试图或写在存储过程里都会超时呢········· 中秋快乐!!!!!!!!!大家进来看看,小弟有些问题。 网站运行一会儿IIS自动不运行了 什么是SCSI卡设备呢?有何作用? 未来的软件架构和技术 哪里有VB好界面下啊,谢谢 推荐给希望了解应用程序开发全过程的“初学者”一本书!!!!!!!!! 过节了!谨以些分献给坚守在灌水第一线的朋友们~~(一) 未来的软件架构和技术 zalyer接帖 过节了!谨以些分献给坚守在灌水第一线的朋友们~~(二) 数据库保存图片的问题 js赋值后提交,怎么在servlet中value 为空?? SendMessage参数问题, 过节了!谨以些分献给坚守在灌水第一线的朋友们~(三) 未来的软件架构和技术 ▁▂▃▄▅学ASP一个月了,现在学SQL SERVER,散分100,只为交友!▅▄▃▂▁ 大家好 ! 中秋快乐 顺便提个问题 ? 在线等....顶也给分拉...Explorer执行了非法操作该窗口即将关闭? 过节了!谨以些分献给坚守在灌水第一线的朋友们~(四) 过节了!谨以些分献给坚守在灌水第一线的朋友们~(五) excel中数据透视表? 了解:今年高程考试有没有新增内容,因为去年就新增了CMM、C++、OA办公自动化软件开发等知识,事先也没有通知各位考生。 绝对好文---------------人力资源“总奸”的自白-------ZT 中秋检举 一个恶意网站! 用PHP上传文件到LINUX服务器,结果文件用FTP软件删不掉 有做网格控件经验的请进 请教一个数据库的小问题 各位高手帮帮我! 高手来帮忙!!! 菜鸟提问:怎样从HBITMAP获得BMP的尺寸?(SDK) 请帮忙。 请问一个关于photoshop的问题,多谢指教100分 vb excel 关于MFC多文档在何处放置自已的初始化文档的代码? 今年又是一个人过中秋,终于想找个GF了! 电影画面倒置是怎么回事? 如何将pbyte指向的byte数据传递给byte数组或char等 送分 为中秋节还工作在自己岗位上的朋友散分! 送分 cgi---這裡有多少個寫法?? 送分 gcc编译好的程序怎么运行阿? 关于多文档的问题:如何固定视窗大小? 替换字符串 对吗这句话?拜托各位大神 气泡上升时内部气压气泡在上升过程中为什么气泡内部气体压强减小?气泡上升,体积变大,内部压强不是应该变大吗? 高二数学设a=2cos66° b=cos5°-√3sin5 °c=2(sin47°sin66°-sin24°sin43°)排列大小,怎么排的? 急:修改病句填空 1、下列句子没有语病的一项是( ) A. 在建设三峡大坝的过程中,无论工人们遇到什么样的困难,他们却能披荆斩棘,一往无前.B.在列车长粗暴的干涉下,使爱迪生在火车上 sin85°=? 2011巨人五年级华数课本班第七讲计算综合一答案(写过程)1995+19951995+199519951995/2009+20092009+200920092009这道题要简算 我要崩溃了.是关于华数华数宽带的请问这个宽带怎么样啊 华数是什么? 已知点A1,2 B2,3 C-2、5求证,向量ab垂直向量ac若向量a=1,2可表示为向量a=m向量ab+n向量ac,求实数 快来回答啊 油刹,汽刹,断汽刹有什么区别? 丁俊晖轻取前“亚洲球王” 排行榜取代火箭队新赛季阵容确定 NBA官方排名纽约庆祝索契冬奥百日倒计时 花滑美女全国43站点监测雾霾对健康影响 含河中央将遴选100名具冲击诺贝尔奖潜力日本民主党:安倍内阁任命亲信 有统治中国常驻联合国副代表敦促美尽快终止对93岁老人做裸模十余年:几个孩子都不浙江衢州:法官强忍病痛开庭感动当事人辨称窃听不针对欧洲公民 美试图为盟友外交部副部长刘振民与朝鲜外务省副相举钮文新解读中央政治局会议:下半年经济和孩子一起返到旧阵时深圳蓝天救援队前往云南昭通小鲜肉,都到中超碗里来中信银行为客户办理首笔卖出人民币对外发展众筹,前海与华尔街起步线差距不大项目 世行贷款项目15养殖场过首关日之泉为何如此差劲郎朗钢琴艺术节落户福田广东向云南捐赠1000万救灾资金民政部关于云南鲁甸6.5级地震抗震救地皇霸天武神宝鉴九尾天狐侠仙传奇俘美记末世之远古神话洪荒剑灵凡人同人之超仙掌控神路重生之神魔战场位面大冒险火山热海旅游钓鱼城旅游北京工人体育场旅游苏三监狱旅游南海观音寺旅游南湖秋月园旅游全福讲寺旅游怪楼旅游客家文化城旅游五龙客家风情园旅游蒋经国旧居旅游
备案号:鲁ICP备13029499号-2 说三道四 www.s3d4.cn 说三道四技术文摘