识别 C/C++ 程序中的安全漏洞

Q: 我什么时候能看到讲座和作业？

要获取课程资料、作业和证书，您需要在注册课程时购买证书体验。 您可以尝试免费试听，或申请资助。课程可能提供 "完整课程，无证书"。通过该选项，您可以查看所有课程资料，提交必要的评估，并获得最终成绩。这也意味着您无法购买证书体验。

本课程是安全编码实践专项课程的一部分

位教师：Matthew Bishop, PhD

9,550 人已注册

包含在 Coursera Plus 中

了解更多

4个模块

深入了解一个主题并学习基础知识。

4.6

（80 条评论）

中级等级

需要一些相关经验

2 周完成

在 10 小时一周

灵活的计划

自行安排学习进度

4个模块

深入了解一个主题并学习基础知识。

4.6

（80 条评论）

中级等级

需要一些相关经验

2 周完成

在 10 小时一周

灵活的计划

自行安排学习进度

您将学到什么

应用 "注意什么 "和 "从哪里看 "来评估 C++ 库代码的脆弱性。
给定一个脆弱的 C++ 库，编写一个健壮的版本。
识别 C/C++ 中的权限、可信环境、输入验证、文件和子进程、资源管理、异步性和随机性等问题。
纠正适用于 C/C++ 与编程环境交互的问题示例。

您将获得的技能

要了解的详细信息

可分享的证书

添加到您的领英档案

作业

8 项作业

授课语言：英语（English）

了解顶级公司的员工如何掌握热门技能

了解关于 Coursera for Business 的更多信息

Petrobras, TATA, Danone, Capgemini, P&G 和 L'Oreal 的徽标

积累特定领域的专业知识

本课程是安全编码实践专项课程专项课程的一部分

在注册此课程时，您还会同时注册此专项课程。

向行业专家学习新概念
获得对主题或工具的基础理解
通过实践项目培养工作相关技能
获得可共享的职业证书

该课程共有4个模块

本课程以本专业第一和第二课程《安全编码原理》和《识别安全漏洞》中所学的技能和编码实践为基础。本课程使用聚焦技术，要求您思考 "要注意什么 "和 "要看哪里"，以评估并最终修复脆弱的 C++ 库代码。

在本模块中，你将能够在运行程序或子程序时管理用户和权限。你将能够识别和使用 Linux（和类 UNIX）系统上的不同权限类型。你将能识别程序 shell 如何保存环境设置。你将能够检查 shell（或其他使用 PATH 变量的程序）如何处理该变量的多个版本。

涵盖的内容

17个视频4篇阅读材料2个作业4个讨论话题

17个视频总计107分钟

课程介绍2分钟
单元 1 导言2分钟
用户和权限概述7分钟
识别用户和更改权限7分钟
产卵子过程8分钟
错误识别用户1分钟
建立用户和设置 UID8分钟
建立组和 GID3分钟
为用户和组建立权限11分钟
根权限如何工作3分钟
第 1 课小结1分钟
环境变量概述2分钟
显式编程4分钟
应对各种攻击16分钟
动态加载和相关攻击16分钟
隐式编程3分钟
故事的寓意5分钟

4篇阅读材料总计35分钟

加州大学戴维斯分校的说明10分钟
你是谁？ - 发生了什么事？10分钟
重置 PATH - 怎么回事？10分钟
多个 PATH 环境变量 - 怎么回事？5分钟

2个作业总计60分钟

模块 1 练习测验30分钟
第 1 单元测验30分钟

4个讨论话题总计190分钟

学习目标10分钟
你是谁？(建议活动）60分钟
重置路径（建议开展的活动）60分钟
多个 PATH 环境变量（建议活动）60分钟

在本模块中，您将了解检查输入（即验证和确认）的过程是如何进行的。您将能够避免和缓冲程序中的数值溢出。您还将了解在调用带有会导致溢出的参数的函数时会发生什么。最后，您将能够检测各种输入注入，如跨站脚本和 SQL 注入，并能描述不检查输入的后果。

涵盖的内容

17个视频2篇阅读材料2个作业2个讨论话题

17个视频总计161分钟

单元 2 导言2分钟
验证与核查概述8分钟
元角色11分钟
心脏出血漏洞和其他漏洞21分钟
输入15分钟
修复6分钟
第 3 课小结1分钟
缓冲区溢出概述2分钟
缓冲区溢出示例18分钟
选择性缓冲区溢出和利用金丝雀17分钟
数值溢出概述7分钟
数值溢出示例8分钟
第 4 课小结2分钟
输入注射概述1分钟
跨站脚本攻击18分钟
SQL 注入10分钟
第 5 课小结5分钟

2篇阅读材料总计20分钟

路径名称 - 怎么回事？10分钟
数值溢出和缓冲区溢出 - 怎么回事？10分钟

2个作业总计45分钟

第 2 单元练习测验15分钟
第二单元测验30分钟

2个讨论话题总计120分钟

路径名称（建议活动）60分钟
数值溢出和缓冲区溢出（建议活动）60分钟

在本模块中，您将能够描述文件和子进程如何交互，并能够创建子进程和 shell 脚本。您还将能够识别和防止程序中的竞赛条件，并练习清理环境，使其对不受信任的子进程安全。

涵盖的内容

13个视频1篇阅读材料2个作业1个讨论话题

13个视频总计79分钟

单元 3 导言2分钟
文件和子进程概述0分钟
创建儿童程序5分钟
子流程环境10分钟
文件和子流程设计技巧5分钟
第 6 课小结2分钟
比赛条件概述8分钟
经典赛况范例9分钟
检查时间到使用时间12分钟
编程条件5分钟
环境条件7分钟
比赛条件6分钟
Linux 锁和 FreeBSD 系统调用4分钟

1篇阅读材料总计10分钟

环境状况--发生了什么？10分钟

2个作业总计45分钟

第 3 单元练习测验15分钟
第 3 单元测验30分钟

1个讨论话题总计60分钟

环境条件（建议开展的活动）60分钟

在本模块中，您将能够区分伪随机性和实际随机性。您将能够在编码环境中应用随机性，生成随机数并查看其分布情况。您将能够识别和描述密码学的使用方式和原因，以及为什么要使用可信的密码学代码库，而不是自行设计解决方案。您将能够分析和考虑处理敏感信息、密码、加密密钥的最佳实践，如何处理安全敏感程序中的错误，以及如何防御字符串攻击。你将能够对密码进行散列，然后尝试猜测另一个密码。您将能够练习清理环境，使其对不受信任的子进程安全，并练习处理整数溢出。