中图网(原中国图书网):网上书店,中文字幕在线一区二区三区,尾货特色书店,中文字幕在线一区,30万种特价书低至2折!

歡迎光臨中圖網 請 | 注冊

包郵 Java代碼審計(入門篇)

出版社:人民郵電出版社出版時間:2021-08-01
開本: 16開 頁數: 452
中 圖 價:¥71.4(5.5折) 定價  ¥129.9 登錄后可看到會員價
加入購物車 收藏
開年大促, 全場包郵
?新疆、西藏除外
本類五星書更多>
買過本商品的人還買了

Java代碼審計(入門篇) 版權信息

Java代碼審計(入門篇) 本書特色

適讀人群 :本書適合安全從業人員、軟件開發人員以及對代碼安全感興趣的讀者閱讀。代碼審計(Code Audit)是一種以發現安全漏洞、程序錯誤和違反程序規范為目標的源代碼分析。Web應用程序目前仍然是安全防御的重中之重,對業務的代碼進行安全審計是十分重要的。加之Java語言的應用范圍廣,國內外大型企業大多采用Java作為核心的開發語言,因此對于安全從業者來說,Java代碼審計成為了自身應該掌握的關鍵技能。 本書是一本Java代碼審計入門圖書,通過大量的示例介紹代碼審計的常用入門知識。全書內容分為9章,主要介紹了代碼審計的基礎知識、代碼審計的環境搭建、輔助工具簡介、Java EE基礎知識補充、OWASP Top十 2017內外的代碼審計經驗介紹、JSPXCMS代碼審計實戰以及IAST與RASP技術的介紹等內容,另外,本書還對Java安全編碼規范索引進行了簡單的介紹。 本書適合安全從業人員、軟件開發人員以及對代碼安全感興趣的讀者閱讀。 本書內容 初識Java代碼審計; 代碼審計環境搭建; 代碼審計輔助工具簡介; Java EE基礎知識; “OWASP Top 十 2017”漏洞的代碼審計; “OWASP Top 十 2017”之外常見漏洞的代碼審計; Java EE開發框架安全審計; Jspxcms代碼審計實戰; 小話IAST與RASP。

Java代碼審計(入門篇) 內容簡介

《Java代碼審計入門篇》由淺入深、系統地介紹了Java代碼審計的流程、Java Web漏洞產生的原理以及實戰講解,并力求語言通俗易懂、舉例簡單明了,便于讀者閱讀領會。同時結合具體案例進行講解,可以讓讀者身臨其境,快速了解和掌握主流的Java代碼安全審計技巧。 閱讀《Java代碼審計入門篇》不要求讀者具備代碼審計的相關背景,如有相關經驗,對理解本書內容會更有幫助!禞ava代碼審計入門篇》也可作為高等院校信息安全專業的教材。

Java代碼審計(入門篇) 目錄

第 1章 初識Java代碼審計 1


1.1 代碼審計的意義 1


1.2 Java代碼審計所需的基礎能力 3


1.3 代碼審計的常用思路 4


第 2章 代碼審計環境搭建 5


2.1 JDK的下載與安裝 5


2.1.1 JDK的下載 5


2.1.2 JDK的安裝 6


2.1.3 添加JDK到系統環境 8


2.2 Docker容器編排 10


2.2.1 Docker基本原理及操作 11


2.2.2 使用Vulhub快速搭建漏洞驗證環境 21


2.3 遠程調試 24


2.3.1 對Jar包進行遠程調試 24


2.3.2 對Weblogic進行遠程調試 27


2.3.3 對Tomcat進行遠程調試 31


2.3.4 VMware虛擬機搭建遠程調試環境 35


2.4 項目構建工具 35


2.4.1 Maven基礎知識及掌握 36


2.4.2 Swagger特點及使用 40


第3章 代碼審計輔助工具簡介 41


3.1 代碼編輯器 41


3.1.1 Sublime 41


3.1.2 IDEA 42


3.1.3 Eclipse 43


3.2 測試工具 43


3.2.1 Burp Suite 43


3.2.2 SwitchyOmega 46


3.2.3 Max HackerBar 47


3.2.4 Postman 48


3.2.5 Postwomen 49


3.2.6 Tamper Data 49


3.2.7 Ysoserial 50


3.2.8 Marshalsec 50


3.2.9 MySQL監視工具 51


3.2.10 Beyond Compare 55


3.3 反編譯工具 56


3.3.1 JD-GUI 56


3.3.2 FernFlower 56


3.3.3 CFR 57


3.3.4 IntelliJ IDEA 58


3.4 Java代碼靜態掃描工具 58


3.4.1 Fortify SCA 58


3.4.2 VCG 59


3.4.3 FindBugs與FindSecBugs插件 60


3.4.4 SpotBugs 60


3.5 公開漏洞查找平臺 61


3.5.1 CVE 61


3.5.2 NVD 62


3.5.3 CNVD 63


3.5.4 CNNVD 63


3.6 小結 64


第4章 Java EE基礎知識 65


4.1 Java EE分層模型 65


4.1.1 Java EE的核心技術 66


4.1.2 Java EE分層模型 66


4.2 了解MVC模式與MVC框架 67


4.2.1 Java MVC 模式 68


4.2.2 Java MVC框架 69


4.3 Java Web的核心技術—Servlet 70


4.3.1 Servlet 的配置 70


4.3.2 Servlet的訪問流程 73


4.3.3 Servlet的接口方法 73


4.3.4 Servlet 的生命周期 76


4.4 Java Web過濾器——filter 77


4.4.1 filter的配置 77


4.4.2 filter的使用流程及實現方式 79


4.4.3 filter的接口方法 80


4.4.4 filter 的生命周期 82


4.5 Java反射機制 82


4.5.1 什么是反射 83


4.5.2 反射的用途 83


4.5.3 反射的基本運用 84


4.5.4 不安全的反射 91


4.6 ClassLoader類加載機制 92


4.6.1 ClassLoader類 92


4.6.2 loadClass()方法的流程 93


4.6.3 自定義的類加載器 94


4.6.4 loadClass()方法與Class.forName的區別 95


4.6.5 URLClassLoader 96


4.7 Java動態代理 97


4.7.1 靜態代理 97


4.7.2 動態代理 98


4.7.3 CGLib代理 100


4.8 Javassist動態編程 101


4.9 可用于Java Web的安全開發框架 103


4.9.1 Spring Security 103


4.9.2 Apache Shiro 104


4.9.3 OAuth 2.0 105


4.9.4 JWT 107


第5章 “OWASP Top 10 2017”漏洞的代碼審計 109


5.1 注入 110


5.1.1 注入漏洞簡介 110


5.1.2 SQL注入 110


5.1.3 命令注入 117


5.1.4 代碼注入 121


5.1.5 表達式注入 125


5.1.6 模板注入 130


5.1.7 小結 133


5.2 失效的身份認證 134


5.2.1 失效的身份認證漏洞簡介 134


5.2.2 WebGoat8 JWT Token猜解實驗 134


5.2.3 小結 141


5.3 敏感信息泄露 142


5.3.1 敏感信息泄露簡介 142


5.3.2 TurboMail 5.2.0敏感信息泄露 142


5.3.3 開發組件敏感信息泄露 146


5.3.4 小結 146


5.4 XML外部實體注入(XXE) 147


5.4.1 XXE漏洞簡介 147


5.4.2 讀取系統文件 148


5.4.3 DoS攻擊 150


5.4.4 Blind XXE 151


5.4.5 修復案例 154


5.4.6 小結 156


5.5 失效的訪問控制 157


5.5.1 失效的訪問控制漏洞簡介 157


5.5.2 橫向越權 157


5.5.3 縱向越權 164


5.5.4 小結 168


5.6 安全配置錯誤 168


5.6.1 安全配置錯誤漏洞簡介 168


5.6.2 Tomcat任意文件寫入(CVE-2017-12615) 169


5.6.3 Tomcat AJP 文件包含漏洞(CVE-2020-1938) 173


5.6.4 Spring Boot遠程命令執行 192


5.6.5 小結 203


5.7 跨站腳本(XSS) 203


5.7.1 跨站腳本漏洞簡介 203


5.7.2 反射型XSS漏洞 204


5.7.3 存儲型XSS漏洞 206


5.7.4 DOM型XSS漏洞 211


5.7.5 修復建議 212


5.7.6 小結 212


5.8 不安全的反序列化 212


5.8.1 不安全的反序列化漏洞簡介 212


5.8.2 反序列化基礎 213


5.8.3 漏洞產生的必要條件 214


5.8.4 反序列化拓展 215


5.8.5 Apache Commons Collections反序列化漏洞 218


5.8.6 FastJson反序列化漏洞 225


5.8.7 小結 235


5.9 使用含有已知漏洞的組件 235


5.9.1 組件漏洞簡介 235


5.9.2 Weblogic中組件的漏洞 237


5.9.3 富文本編輯器漏洞 238


5.9.4 小結 241


5.10 不足的日志記錄和監控 241


5.10.1 不足的日志記錄和監控漏洞簡介 241


5.10.2 CRLF注入漏洞 242


5.10.3 未記錄可審計性事件 243


5.10.4 對日志記錄和監控的安全建議 244


5.10.5 小結 244


第6章 “OWASP Top 10 2017”之外常見漏洞的代碼審計 245


6.1 CSRF 245


6.1.1 CSRF簡介 245


6.1.2 實際案例及修復方式 246


6.1.3 小結 249


6.2 SSRF 249


6.2.1 SSRF簡介 249


6.2.2 實際案例及修復方式 250


6.2.3 小結 262


6.3 URL跳轉 263


6.3.1 URL跳轉漏洞簡介 263


6.3.2 實際案例及修復方式 264


6.3.3 小結 267


6.4 文件操作漏洞 267


6.4.1 文件操作漏洞簡介 267


6.4.2 漏洞發現與修復案例 268


6.4.3 小結 286


6.5 Web后門漏洞 287


6.5.1 Web后門漏洞簡介 287


6.5.2 Java Web 后門案例講解 287


6.5.3 小結 292


6.6 邏輯漏洞 293


6.6.1 邏輯漏洞簡介 293


6.6.2 漏洞發現與修復案例 293


6.6.3 小結 299


6.7 前端配置不當漏洞 300


6.7.1 前端配置不當漏洞簡介 300


6.7.2 漏洞發現與修復案例 300


6.7.3 小結 305


6.8 拒絕服務攻擊漏洞 305


6.8.1 拒絕服務攻擊漏洞簡介 305


6.8.2 漏洞發現與修復案例 306


6.8.3 小結 322


6.9 點擊劫持漏洞 323


6.9.1 點擊劫持漏洞簡介 323


6.9.2 漏洞發現與修復案例 324


6.9.3 小結 327


6.10 HTTP參數污染漏洞 327


6.10.1 HTTP參數污染漏洞簡介 327


6.10.2 漏洞發現與修復案例 328


6.10.3 小結 330


第7章 Java EE開發框架安全審計 331


7.1 開發框架審計技巧簡介 331


7.1.1 SSM框架審計技巧 331


7.1.2 SSH框架審計技巧 360


7.1.3 Spring Boot框架審計技巧 373


7.2 開發框架使用不當范例(Struts2 遠程代碼執行) 377


7.2.1 OGNL簡介 377


7.2.2 S2-001漏洞原理分析 379


第8章 Jspxcms代碼審計實戰 390


8.1 Jspxcms簡介 390


8.2 Jspxcms的安裝 391


8.2.1 Jspxcms的安裝環境需求 391


8.2.2 Jspxcms的安裝步驟 391


8.3 目錄結構及功能說明 399


8.3.1 目錄結構 399


8.3.2 功能說明 402


8.4 第三方組件漏洞審計 406


8.5 單點漏洞審計 408


8.5.1 SQL審計 408


8.5.2 XSS 審計 411


8.5.3 SSRF審計 418


8.5.4 RCE審計 431


8.6 本章總結 440


第9章 小話IAST與RASP 441


9.1 IAST簡介 441


9.2 RASP簡介 443


9.3 單機版OpenRASP Agent實驗探究 444


9.3.1 實驗環境 444


9.3.2 實驗過程 444


9.4 OpenRASP Java Agent原理淺析 448


9.5 本章總結 452


附錄 Java安全編碼規范索引 453

展開全部

Java代碼審計(入門篇) 作者簡介

徐焱,北京交通大學安全研究員,MS08067安全實驗室創始人。從2002年開始接觸網絡安全,有豐富的滲透測試經驗,主要研究方向為內網滲透測試和APT攻擊。已出版圖書《網絡攻防實戰研究:漏洞利用與提權》、《Web安全攻防:滲透測試實戰指南》,在《黑客防線》、《黑客X檔案》、《黑客手冊》、FreeBuf、360安全客、阿里云盾先知、嘶吼等媒體發表過多篇技術文章。

商品評論(0條)
暫無評論……
書友推薦
本類暢銷
編輯推薦
返回頂部
中圖網
在線客服
主站蜘蛛池模板: 口信网(kousing.com) - 行业资讯_行业展会_行业培训_行业资料 | 硬度计_影像测量仪_维氏硬度计_佛山市精测计量仪器设备有限公司厂家 | 全自动翻转振荡器-浸出式水平振荡器厂家-土壤干燥箱价格-常州普天仪器 | 步进_伺服_行星减速机,微型直流电机,大功率直流电机-淄博冠意传动机械 | 托利多电子平台秤-高精度接线盒-托利多高精度电子秤|百科 | jrs高清nba(无插件)直播-jrs直播低调看直播-jrs直播nba-jrs直播 上海地磅秤|电子地上衡|防爆地磅_上海地磅秤厂家–越衡称重 | 光谱仪_积分球_分布光度计_灯具检测生产厂家_杭州松朗光电【官网】 | 东莞工厂厂房装修_无尘车间施工_钢结构工程安装-广东集景建筑装饰设计工程有限公司 | 深圳美安可自动化设备有限公司,喷码机,定制喷码机,二维码喷码机,深圳喷码机,纸箱喷码机,东莞喷码机 UV喷码机,日期喷码机,鸡蛋喷码机,管芯喷码机,管内壁喷码机,喷码机厂家 | 诺冠气动元件,诺冠电磁阀,海隆防爆阀,norgren气缸-山东锦隆自动化科技有限公司 | 呼末二氧化碳|ETCO2模块采样管_气体干燥管_气体过滤器-湖南纳雄医疗器械有限公司 | 超细粉碎机|超微气流磨|气流分级机|粉体改性设备|超微粉碎设备-山东埃尔派粉碎机厂家 | 石磨面粉机|石磨面粉机械|石磨面粉机组|石磨面粉成套设备-河南成立粮油机械有限公司 | 防爆大气采样器-防爆粉尘采样器-金属粉尘及其化合物采样器-首页|盐城银河科技有限公司 | 智能汉显全自动量热仪_微机全自动胶质层指数测定仪-鹤壁市科达仪器仪表有限公司 | 三轴曲线机-端子插拔力试验机|华杰仪器| 浙江上沪阀门有限公司| 安徽华耐泵阀有限公司-官方网站 安德建奇火花机-阿奇夏米尔慢走丝|高维|发那科-北京杰森柏汇 | 四川实木门_成都实木门 - 蓬溪聚成门业有限公司 | 云南标线|昆明划线|道路标线|交通标线-就选云南云路施工公司-云南云路科技有限公司 | 化妆品加工厂-化妆品加工-化妆品代加工-面膜加工-广东欧泉生化科技有限公司 | 中药二氧化硫测定仪,食品二氧化硫测定仪|俊腾百科 | 质检报告_CE认证_FCC认证_SRRC认证_PSE认证_第三方检测机构-深圳市环测威检测技术有限公司 | 老房子翻新装修,旧房墙面翻新,房屋防水补漏,厨房卫生间改造,室内装潢装修公司 - 一修房屋快修官网 | 亮化工程,亮化设计,城市亮化工程,亮化资质合作,长沙亮化照明,杰奥思【官网】 | 网站优化公司_SEO优化_北京关键词百度快速排名-智恒博网络 | 大连海岛旅游网>>大连旅游,大连海岛游,旅游景点攻略,海岛旅游官网 | 深圳3D打印服务-3D打印加工-手板模型加工厂-悟空打印坊 | 杭州成人高考_浙江省成人高考网上报名| 烽火安全网_加密软件、神盾软件官网 | 附着力促进剂-尼龙处理剂-PP处理剂-金属附着力处理剂-东莞市炅盛塑胶科技有限公司 | 艺术漆十大品牌_艺术涂料加盟代理_蒙太奇艺术涂料厂家品牌|艺术漆|微水泥|硅藻泥|乳胶漆 | 电动打包机_气动打包机_钢带捆扎机_废纸打包机_手动捆扎机 | 济南ISO9000认证咨询代理公司,ISO9001认证,CMA实验室认证,ISO/TS16949认证,服务体系认证,资产管理体系认证,SC食品生产许可证- 济南创远企业管理咨询有限公司 郑州电线电缆厂家-防火|低压|低烟无卤电缆-河南明星电缆 | 阴离子_阳离子聚丙烯酰胺厂家_聚合氯化铝价格_水处理絮凝剂_巩义市江源净水材料有限公司 | 防水套管厂家-柔性防水套管-不锈钢|刚性防水套管-天翔管道 | 安平县鑫川金属丝网制品有限公司,声屏障,高速声屏障,百叶孔声屏障,大弧形声屏障,凹凸穿孔声屏障,铁路声屏障,顶部弧形声屏障,玻璃钢吸音板 | 太阳能发电系统-太阳能逆变器,控制器-河北沐天太阳能科技首页 | 网站制作优化_网站SEO推广解决方案-无锡首宸信息科技公司 | 翰墨AI智能写作助手官网_人工智能问答在线AI写作免费一键生成 | 钢托盘,铁托盘,钢制托盘,镀锌托盘,饲料托盘,钢托盘制造商-南京飞天金属13260753852 |