【正文】 un()方法結束呢？一般可用一個標志告訴線程什么時候通過退出自己的run()方法來中止自己的執(zhí)行。3：不推薦使用stop()來終止阻塞的線程，而應換用由Thread提供的interrupt()方法，以便中止并退出堵塞的代碼 隱蔽信道問題、客體重用問題 輸入輸出安全 典型的輸入安全問題及預防***①數(shù)字輸入安全：確定數(shù)字格式、負數(shù)驗證、判斷數(shù)值溢出②字符串輸入安全：正則表達式、明確匹配數(shù)據(jù)的開始和結束、在輸入中拒絕特殊字符③環(huán)境變量輸入安全：環(huán)境變量在同一個交互環(huán)境下只有一個實例。解決：限制環(huán)境變量的使用權限、可適當破壞環(huán)境變量在shell之間的共享、用戶定義的環(huán)境變量，需要進行嚴格的檢查。②賬戶和口令：解決問題的方法主要有：不到萬不得已，不使用管理員賬戶；使用最小特權賬戶，不給以額外的權限；不允許使用空口令連接數(shù)據(jù)庫，防止管理員疏忽而創(chuàng)建了空口令；數(shù)據(jù)庫連接字符串存放在配置文件中，最好可以加密，而不是代碼中以明文顯示；發(fā)生錯誤時，僅給客戶端通知信息，不給具體原因，防止攻擊者利用這些通知信息進行數(shù)據(jù)庫猜測。此種情況下，可能造成系統(tǒng)顯示出錯。1：對象(Object)。類是用于描述同一類型的對象的一個抽象的概念，類中定義了這一類對象所應具有的屬性和方法。在通信的過程中，一個消息發(fā)送給某個對象，實際上相當于調用另一個對象的方法，消息可以是這個方法的參數(shù)。繼承性是面向對象程序設計語言不同于其它語言的重要特點，是其他語言所沒有的。有了多態(tài)性，不同對象可以以適合自身的方式，去響應相同的消息，增強了軟件的可擴展性和和重用性。面向對象編程的異常捕獲機制***在面向對象的語言中，可以有兩種方法進行異常的捕獲：就地捕捉異常；將異常向前端(調用方)拋出。C++中，和對象釋放內存相關的，一般是析構函數(shù)。Java 去除了析構函數(shù)，取而代之的是：finalize()方法。靜態(tài)成員從屬于一個類，不是某對象的一部分，非靜態(tài)成員可以直接訪問類中靜態(tài)的成員，但是靜態(tài)成員不可以訪問非靜態(tài)成員。同時靜態(tài)成員的初始化操作中也不應該有依賴關系；2：不用靜態(tài)變量保存某個對象的狀態(tài)，而應該保存所有對象應該共有的狀態(tài)；3：不用對象來訪問靜態(tài)變量，而用類名來訪問靜態(tài)變量。 異常捕獲中的安全當一個模塊中可能出現(xiàn)異常時，一般情況下，可以就地捕捉異常，過程如下：1：用try塊將可能出現(xiàn)異常的代碼包起來；2：用catch塊來捕獲異常并處理異常；3：如果有一些工作是不管異常是否出現(xiàn)都要執(zhí)行的，則將相應的代碼用finally塊將其包起來。2：以上代碼的catch塊中，是簡單的打印提示信息，實際的系統(tǒng)中，你可能要根據(jù)實際需求來使用不同的異常處理方法。2：向客戶端傳遞的方法，其優(yōu)勢在于可以充分發(fā)揮客戶端的能力，如果異常的處理依賴于客戶端，或者某些處理過程在本地無法完成，就必須向客戶端傳遞。不過，異常不斷向客戶端拋出，會增加系統(tǒng)開銷。表單傳值：1：和URL方法類似，該方法傳輸?shù)臄?shù)據(jù)，也只能是字符串，對數(shù)據(jù)類型具有一定限制；2：傳輸數(shù)據(jù)的值雖然可以保證在瀏覽器地址欄內不被看到，但是在客戶端源代碼里面也會被看到。利用跨站腳本技術，將信息發(fā)給目標服務器；為了隱藏跨站腳本的URL，甚至可以結合Ajax(異步Javascript和XML技術)在后臺竊取Cookie；通過某些軟件，竊取硬盤下的Cookie；利用客戶端腳本盜取Cookie。解決方法：替代、及時刪除、禁用Session方法：本質上講，會話(session)的含義是指某個用戶在網站上的有始有終的一系列動作的集合。由于關閉瀏覽器不會導致session被刪除，因此，客戶端關閉之后，session還未失效的情況下，就給了攻擊者以機會來獲取session中的內容。 XSS攻擊及防范***XSS屬于被動式的攻擊。從本質上講，XSS漏洞終究原因是由于網站的Web應用對用戶提交請求參數(shù)未做充分的檢查過濾。 如何實現(xiàn)SQL注入攻擊*** SQL注入攻擊防范***1：將輸入中的單引號變成雙引號。5：嚴格區(qū)分數(shù)據(jù)庫訪問權限。8：對數(shù)據(jù)庫查詢中的出錯信息進行屏蔽，盡量減少攻擊者根據(jù)數(shù)據(jù)庫的查詢出錯信息來猜測數(shù)據(jù)庫特征的可能。 安全特征編程 安全認證1：用戶名/口令：用戶名/口令，是最簡單，也是最常用的用戶認證方法。口令保存在數(shù)據(jù)庫中，可能被管理員得知；等等。因此還是存在一定的安全隱患。不過，如果客戶端與服務器端的密碼不能保持良好的同步，就可能發(fā)生合法用戶無法登錄的問題。代理類和工作類實現(xiàn)同樣的接口；客戶端和代理類打交道；代理類如果通過驗證，則將請求發(fā)給工作類；客戶和代理類打交道，其感覺就好像在調用工作類一樣，也就是說，代理類實際上對客戶透明。3：密鑰值在某個范圍內實現(xiàn)均勻分布。 軟件認證破解攻擊序列號保護：通過跟蹤輸入注冊碼之后的判斷，從而找出注冊碼；跟蹤程序啟動時對注冊碼的判斷。所有的代碼、初始化數(shù)據(jù)、未初始化數(shù)據(jù)、資源、引入函數(shù)、引出函數(shù)、調試信息等各類信息，最終都按各自的特點存放在各個不同的節(jié)中?；?PE 文件的這些結構特點，用重構的結構表示隱藏信息。（3）對所選有效 PE 文件的屬性進行分析。內存映像的檢查：（1） 從內存映像得到PE相關數(shù)據(jù)，入代碼區(qū)塊的RVA值和內存大小等。 軟件加殼脫殼 軟件反匯編目前主要的兩類反匯編算法是線性掃描算法（ Linear sweep ）和遞歸行進算法（ Recursive traversal）。因此無法正確地將代碼和數(shù)據(jù)區(qū)分開，數(shù)據(jù)也將被作為代碼來進行解碼，從而導致反匯編出現(xiàn)錯誤。采用這種算法可以避免將代碼中的數(shù)據(jù)作為指令來解碼，比較靈活?？蓤?zhí)行式花指令顧名思義，可執(zhí)行式花指令指的是能夠正常運行的但又不改變原始程序邏輯性的一組無用指令。代碼與數(shù)據(jù)結合技術一般程序的代碼和數(shù)據(jù)是分開的。 有害程序原理 有害程序原理***侵入計算機系統(tǒng)、破壞系統(tǒng)、信息的機密性、完整性和可用性等的程序。特性：程序性、隱藏性、有效性、頑固性、易植入性 木馬分類密碼發(fā)送型、按鍵記錄型、屏幕截取型、文件控制型、后門型EXE偽裝型、傳統(tǒng)DLL/VXD型、DLL關聯(lián)型、DLL注入型傳統(tǒng)C/S通信型、端口寄生型、端口反彈型、ICMP型、電子郵件型、網卡/Modem直接編程型 木馬啟動機制***注冊表啟動（Run、組策略、其他位置）、啟動項啟動、任務計劃啟動、配置文件啟動（批處理、應用程序的配置文件）、關聯(lián)文件啟動、偽裝成服務啟動、其他特定程序啟動（寄生、代替其他程序、API HOOK）、驅動方式啟動、自動運行啟動、瀏覽器啟動（BHO、Java Applet） 木馬信息獲取嗅探技術，是一種常用的收集有用數(shù)據(jù)信息的網絡監(jiān)聽方法，是網絡安全攻防技術中很重要的一種。②測試用例設計應包括測試輸入數(shù)據(jù)和與之對應的預期輸出結果這兩部分。⑦妥善保存測試計劃，測試用例，出錯統(tǒng)計和最終分析報告，為維護提供方便。當然，即使軟件測試沒有發(fā)現(xiàn)任何錯誤，也可以作為評估軟件綜合性能的手段；等等。等價類劃分法；邊界值分析法；因果圖法?；韭窂椒?；條件測試法；循環(huán)測試法。確認測試則是要檢查已實現(xiàn)的軟件是否滿足了需求規(guī)格說明中確定了的各種需求，以及軟件配置是否完全、正確。因此，實際上，安全測試實際上就是一輪多角度、全方位的攻擊和反攻擊，其目的就是要搶在攻擊者之前盡可能多地找到軟件中的漏洞．以減少軟件遭到攻擊的可能性。4：確定輸入數(shù)據(jù)，設計測試用例。滲透測試能夠直觀的讓管理人員知道自己網絡所面臨的問題。（2）將構造好的數(shù)據(jù)發(fā)送或傳遞給特定的程序，觀察其反應（3）捕獲由于這些異常輸入導致的程序日志及異常（4）對捕獲的結果進行深度分析，判讀其中是否存在問題 安全審查安全審查是指對軟件產品進行安全方面的人工檢查，是軟件質量保證的一個重要環(huán)節(jié)，主要包括：代碼的安全審查；配置復查；文檔的安全