C和C++安全編碼

《C和C++安全編碼》是關於C和C++安全編碼的著作。《C和C++安全編碼》介紹了C和C++程式中已經導致危險的、破壞性的基本編程錯誤，包括在字元串、指針、動態記憶體管理、整數、格式化輸出、檔案I/O等中的漏洞或缺陷。《C和C++安全編碼》還提供了對這些編程錯誤的深入剖析，並給出緩解策略，以減少或消除惡意利用漏洞的風險。

《C和C++安全編碼》適合C/C++程式設計師、軟體安全工程師參考。

洞悉軟體漏洞的成因，熟知規避之道

通常而言，可利用的軟體漏洞都由本可避免的軟體缺陷所導致。在分析了過去10年中近18000份漏洞報告後，CERT/CC發現少量的根本原因導致了這些漏洞的產生。《C和C++安全編碼》識別並解釋了這些原因，而且展示了預防利用漏洞的步驟。此外，《C和C++安全編碼》還鼓勵程式設計師採用最佳安全實踐，並培養安全的開發理念，這不但有助於保護軟體免遭當前的攻擊，更可使它們免遭將來可能發生的攻擊。

基於CERT/CC的報告和總結，Robert Seacord系統地揭示了最可能導致安全缺陷的編程錯誤，展示了這些缺陷的利用方式，介紹了可能導致的後果，並提供了安全的替代做法。

《C和C++安全編碼》特別討論了如下技術細節：

改善任何C/C++應用程式的整體安全性。

抵禦利用不安全的字元串操作邏輯的緩衝區溢出和棧粉碎攻擊。

避免因對動態記憶體管理函式的不當使用而導致的漏洞和安全缺陷。

消除與整數相關的問題，包括整數溢出、符號錯誤以及截斷錯誤等。

正確地使用格式化輸出函式，避免引入格式字元串漏洞。

避免I/O漏洞，包括競爭條件等。

《C和C++安全編碼》提供了許多針對Windows和Linux的安全代碼、不安全代碼以及利用程式的例子。如果你負責創建安全的C或C++軟體，或者需要保持這類軟體的安全性，《C和C++安全編碼》為你提供了詳盡的專家級協助。在這方面，其他任何書籍都望塵莫及。

西科德，賓夕法尼亞州匹茲堡市SEI（SoftwareEngineering Institute，軟體工程研究院）的CERT/CC（CERT/Coordination Center，CERT協調中心）高級漏洞分析師。CERT/CC定期對軟體漏洞報告進行分析，並且評估網際網路及其他關鍵的基礎設施可能遭受的風險，此外還從事其他一些與安全有關的研究活動。作為一名涉獵廣泛的技術專家，Robert還是《Building Sy stems from Commercial Components》（Addison—Wesley，2002）和《Modernizing Legacy Systems》（Addison—Wesley，2003）的合著者，並發表T40多篇論文，領域涉及軟體安全、基於組件的軟體工程、基於Web的系統設計、遺留系統的現代化改造、組件倉庫與搜尋引擎以及用戶界面設計與開發等。Robert於1982年起在IBM開始職業編程生涯，從事通信和作業系統軟體研發、處理器開發以及軟體工程。Robert還為x協會（X Consortium）工作，為CDE（Common DesktopEnvironment，公共桌面環境）和x Window系統開發和維護代碼。他還積極參與JTCl/SC22/WGl4的C語言國際標準化工作組工作。

譯者序

序言

前言

作譯者簡介

第1章 夾縫求生

第2章 字元串

第3章 指針詭計

第4章 動態記憶體管理

第5章 整數安全

第6章 格式化輸出

第7章 檔案I/O

第8章 推薦的實踐

縮略語

……