掃一掃
關注中圖網
官方微博
本類五星書更多>
-
>
全國計算機等級考試最新真考題庫模擬考場及詳解·二級MSOffice高級應用
-
>
決戰行測5000題(言語理解與表達)
-
>
軟件性能測試.分析與調優實踐之路
-
>
第一行代碼Android
-
>
JAVA持續交付
-
>
EXCEL最強教科書(完全版)(全彩印刷)
-
>
深度學習
新型網絡安全人才培養叢書應用軟件安全代碼審查指南 版權信息
- ISBN:9787121352201
- 條形碼:9787121352201 ; 978-7-121-35220-1
- 裝幀:一般膠版紙
- 冊數:暫無
- 重量:暫無
- 所屬分類:>
新型網絡安全人才培養叢書應用軟件安全代碼審查指南 內容簡介
本書分為兩大部分,共15章。靠前部分包含~4章,介紹了安全代碼審查的作用和方法,以及在軟件安全開發生命周期(S-SDLC)代碼審查過程中查找安全漏洞的方法。第二部分包含第5~15章,介紹2013年版《OWASP Top 10》中提出的安全風險的處理方法和技術,以及其他漏洞處理的方法和技術。本書適合軟件研發組織機構的高層管理人員、專業技術負責人、開發人員、測試人員和軟件安全人員,以及高等院校軟件工程、網絡安全專業的師生等閱讀學習。
新型網絡安全人才培養叢書應用軟件安全代碼審查指南 目錄
第1章 如何使用《應用軟件安全代碼審查指南》 1
第2章 安全代碼審查 4
2.1 為什么代碼有漏洞 5
2.2 代碼審查和安全代碼審查之間的區別是什么 6
2.3 什么是安全代碼審查 6
2.4 確定安全代碼審查的范圍 7
2.5 我們不能破解自己的安全性 9
2.6 安全代碼審查和滲透測試耦合 11
2.7 安全代碼審查對開發實踐的好處 13
2.8 安全代碼審查的技術 15
2.9 安全代碼審查與合規性 15
第3章 安全代碼審查的方法論 18
3.1 制定安全代碼審查流程時需要考慮的因素 19
3.1.1 風險 19
3.1.2 目的與背景 19
3.1.3 代碼行數 19
3.1.4 編程語言 20
3.1.5 資源、時間和期限 20
3.2 在S-SDLC中集成安全代碼審查 20
3.3 何時進行安全代碼審查 21
3.4 敏捷和瀑布開發中的安全代碼審查 23
3.5 基于風險的安全代碼審查方法 23
3.6 安全代碼審查準備 26
3.7 安全代碼審查發現和信息收集 28
3.8 靜態代碼分析 30
3.9 應用威脅建模 34
3.10 度量指標和安全代碼審查 42
3.11 代碼爬行 45
第4章 安全代碼審查注意事項 47
第5章 A1注入攻擊 49
5.1 概述 50
5.2 概覽 50
5.3 SQL盲注 51
5.3.1 SQL查詢參數化 51
5.3.2 安全的字符串拼接 52
5.3.3 運用靈活的參數化語句 53
5.3.4 PHP SQL注入 54
5.3.5 Java SQL注入 55
5.3.6 .NET SQL注入 55
5.3.7 參數集合 56
5.4 要點回顧 57
5.5 OWASP參考資料 57
5.6 其他參考資料 58
第6章 A2失效的身份認證和會話管理 59
6.1 失效的身份認證 60
6.1.1 概述 60
6.1.2 概覽 60
6.1.3 如何審查 60
6.1.4 參考資料 62
6.1.5 被遺忘的密碼 62
6.1.6 驗證碼 64
6.1.7 帶外通信 66
6.2 A2會話管理 68
6.2.1 概述 68
6.2.2 概覽 68
6.2.3 審查的內容 69
6.2.4 會話超時 70
6.2.5 會話注銷和結束 71
6.2.6 會話管理的服務器端防御 72
第7章 A3跨站腳本攻擊(XSS) 74
7.1 什么是跨站腳本攻擊(XSS) 75
7.2 概覽 75
7.3 如何審查 75
7.3.1 安全代碼審查需要詳盡 75
7.3.2 工具介紹 76
7.4 OWASP參考資料 77
7.5 其他參考資料 77
第8章 A4不安全的直接對象引用 79
8.1 概述 80
8.2 概覽 80
8.3 如何審查 80
8.3.1 SQL注入 80
8.3.2 HTTP POST請求 81
8.3.3 間接引用映射 81
8.3.4 數據綁定技術 82
8.3.5 安全設計建議 82
8.3.6 審查準則 82
8.4 安全代碼審查人員應該做什么 82
8.5 MVC.NET中的綁定問題 83
8.5.1 相應的視圖(HTML) 83
8.5.2 建議 84
8.6 參考資料 84
第9章 A5安全配置錯誤 85
9.1 Apache Struts 86
9.2 Java企業版聲明配置 87
9.3 JEE注釋 91
9.4 框架特定配置:Apache Tomcat 92
9.5 框架特定配置:Jetty 93
9.6 框架特定配置:JBoss AS 94
9.7 框架特定配置:Oracle WebLogic 94
9.8 程序配置:JEE 95
9.9 Microsoft IIS 97
9.10 框架特定配置:Microsoft II 99
9.11 程序配置:Microsoft IIS 102
9.12 進一步的IIS配置 103
9.12.1 過濾請求和URL重寫 103
9.12.2 參考資料 111
9.13 強名稱 111
9.13.1 如何使用強名稱 112
9.13.2 參考資料 115
9.14 Round Tripping 115
9.14.1 混淆的重要性 116
9.14.2 使用混淆 116
9.14.3 ASPNetCon?gs 116
9.14.4 參考資料 118
9.15 .NET驗證控件 118
第10章 A6敏感數據暴露 124
10.1 加密控制 125
10.1.1 概述 125
10.1.2 審查內容:傳輸保護 127
10.1.3 審查內容:存儲保護 129
10.1.4 加密、哈希和鹽值 135
10.1.5 參考資料 138
10.2 減少攻擊面 139
10.2.1 概述 139
10.2.2 審查內容 140
10.2.3 參考資料 141
第11章 A7功能級權限控制缺失 142
11.1 授權 143
11.2 概述 144
11.3 注意事項 146
11.4 訪問控制備忘單 148
11.4.1 硬編碼方法 148
11.4.2 防御訪問控制攻擊 148
第12章 A8跨站請求偽造(CSRF) 150
12.1 概述 151
12.2 CSRF的工作原理 152
12.3 注意事項 153
12.3.1 無效的防御措施 153
12.3.2 高風險功能 154
12.3.3 防御CSRF攻擊 154
第13章 A9使用含有已知漏洞的組件 159
13.1 概述 160
13.2 注意事項 160
第14章 A10未經驗證的重定向和轉發 162
14.1 概述 163
14.2 注意事項 164
14.3 參考資料 166
第15章 其他技術 167
15.1 HTML5 168
15.1.1 概述 168
15.1.2 注意事項:Web信息傳遞 168
15.1.3 注意事項:跨源資源共享 169
15.1.4 注意事項:WebSockets 170
15.1.5 注意事項:服務器推送事件 172
15.2 同源策略 172
15.2.1 概述 172
15.2.2 注意事項 173
15.3 審計日志代碼 174
15.3.1 概述 174
15.3.2 注意事項 175
15.3.3 參考資料 176
15.4 錯誤處理 177
15.4.1 概述 177
15.4.2 注意事項 178
15.4.3 注意事項:安全的失敗 180
15.4.4 注意事項:潛在漏洞代碼 180
15.4.5 注意事項:IIS錯誤處理 183
15.4.6 注意事項:在Apache中處理錯誤 185
15.4.7 注意事項:領先的實踐錯誤處理 186
15.4.8 注意事項:捕獲異常的順序 187
15.4.9 注意事項:釋放資源和良好的資源管理 188
15.4.10 參考資料 190
15.5 查看安全警報 190
15.5.1 概述 190
15.5.2 注意事項 192
15.6 檢查主動防御 193
15.6.1 概述 193
15.6.2 注意事項 194
15.6.3 參考資料 196
15.7 競爭條件 196
15.7.1 概述 196
15.7.2 注意事項 197
15.7.3 參考資料 198
15.8 緩沖區溢出 198
15.8.1 概述 198
15.8.2 注意事項:緩沖區溢出 200
15.8.3 注意事項:格式函數溢出 201
15.8.4 注意事項:整數溢出 202
15.8.5 參考資料 204
附錄A 軟件安全開發生命周期圖表 205
附錄B 安全代碼審查清單 210
附錄C 威脅建模示例 214
C.1 威脅建模示例步驟1:分解應用 214
C.2 威脅建模示例步驟2:威脅分類 219
C.3 威脅建模示例步驟3:確定對策 221
附錄D 代碼爬蟲 224
D.1 在.NET中搜索代碼 224
D.2 在Java中搜索代碼 230
D.3 在經典ASP中搜索代碼 234
D.4 在JavaScript和Ajax中搜索代碼 236
D.5 在C++和Apache中搜索代碼 236
附錄E 參考資料 239
展開全部
新型網絡安全人才培養叢書應用軟件安全代碼審查指南 作者簡介
OWASP基金會是一個開源的、非盈利的全球性安全組織,致力于應用軟件的安全研究,在業界具有一流的影響力和**性。作為OWASP面向中國的區域分支,OWASP中國自2006年正式啟動,目前已擁有來自互聯網安全專業領域和政府、電信、金融、教育等相關領域的會員5000多名,形成了強大的專業技術實力和行業資源聚集能力,有力推動了安全標準、安全測試工具、安全指導手冊等應用安全技術在中國的發展,成為了積極推動中國互聯網安全技術創新、人才培養和行業發展的中堅力量。作為OWASP中國的運營中心,互聯網安全研究中心(Security Zone,簡稱SecZone)是國內**獨立、開源的互聯網安全研究機構。中心始終秉持引入、吸收、創新的發展宗旨,專注于互聯網安全前沿技術和OWASP項目的深度研究,常年組織開展各類開源培訓及沙龍活動,致力于通過對國內外技術、資源的整合、應用和創新,更好地服務業界同仁、服務行業發展,更有力地推動國內互聯網安全技術的進步與升級。
書友推薦
- >
人文閱讀與收藏·良友文學叢書:一天的工作
- >
隨園食單
- >
大紅狗在馬戲團-大紅狗克里弗-助人
- >
龍榆生:詞曲概論/大家小書
- >
煙與鏡
- >
有舍有得是人生
- >
推拿
- >
二體千字文
本類暢銷
