掃一掃
關注中圖網
官方微博
本類五星書更多>
-
>
全國計算機等級考試最新真考題庫模擬考場及詳解·二級MSOffice高級應用
-
>
決戰行測5000題(言語理解與表達)
-
>
軟件性能測試.分析與調優實踐之路
-
>
第一行代碼Android
-
>
JAVA持續交付
-
>
EXCEL最強教科書(完全版)(全彩印刷)
-
>
深度學習
網絡安全Java代碼審計實戰 版權信息
- ISBN:9787121420443
- 條形碼:9787121420443 ; 978-7-121-42044-3
- 裝幀:一般膠版紙
- 冊數:暫無
- 重量:暫無
- 所屬分類:>
網絡安全Java代碼審計實戰 本書特色
本書是奇安信認證網絡安全工程師培訓教材之一,目的是為網絡安全行業培養合格的人才。網絡安全人才的培養是一項艱巨的任務,其中代碼審計人才更是“稀缺資源”。
網絡安全Java代碼審計實戰 內容簡介
本書是奇安信認證網絡安全工程師培訓教材之一,目的是為網絡安全行業培養合格的人才。網絡安全人才的培養是一項艱巨的任務,其中代碼審計人才更是“稀缺資源”。 本書分為4章。章代碼審計基礎,內容包括基礎Java開發環境搭建、代碼審計環境搭建。第2章常見漏洞審計,介紹了多種常見漏洞的成因以及審計和修復的技巧。第3章常見的框架漏洞,介紹了Java開發中經常使用的一些框架的典型漏洞,如Spring、Struts2等的命令執行漏洞。第4章代碼審計實戰,通過對真實環境下的Java應用程序進行審計,向讀者詳細介紹了Java代碼審計的技巧與方法。 本書可供軟件開發工程師、網絡運維人員、滲透測試工程師、網絡安全工程師,以及想要從事網絡安全工作的人員閱讀。
網絡安全Java代碼審計實戰 目錄
第1章 代碼審計基礎 (1)
1.1 Java Web環境搭建 (1)
1.1.1 Java EE介紹 (1)
1.1.2 Java EE環境搭建 (1)
1.2 Java Web動態調試 (18)
1.2.1 Eclipse動態調試 (19)
1.2.2 IDEA動態調試程序 (21)
第2章 常見漏洞審計 (32)
2.1 SQL注入漏洞 (32)
2.1.1 SQL注入漏洞簡介 (32)
2.1.2 執行SQL語句的幾種方式 (33)
2.1.3 常見Java SQL注入 (38)
2.1.4 常規注入代碼審計 (46)
2.1.5 二次注入代碼審計 (48)
2.1.6 SQL注入漏洞修復 (51)
2.2 任意文件上傳漏洞 (53)
2.2.1 常見文件上傳方式 (53)
2.2.2 文件上傳漏洞審計 (56)
2.2.3 文件上傳漏洞修復 (59)
2.3 XSS漏洞 (61)
2.3.1 XSS常見觸發位置 (61)
2.3.2 反射型XSS (65)
2.3.3 存儲型XSS (66)
2.3.4 XSS漏洞修復 (70)
2.4 目錄穿越漏洞 (73)
2.4.1 目錄穿越漏洞簡介 (73)
2.4.2 目錄穿越漏洞審計 (74)
2.4.3 目錄穿越漏洞修復 (75)
2.5 URL跳轉漏洞 (76)
2.5.1 URL重定向 (77)
2.5.2 URL跳轉漏洞審計 (78)
2.5.3 URL跳轉漏洞修復 (79)
2.6 命令執行漏洞 (80)
2.6.1 命令執行漏洞簡介 (80)
2.6.2 ProcessBuilder命令執行漏洞 (80)
2.6.3 Runtime exec命令執行漏洞 (83)
2.6.4 命令執行漏洞修復 (90)
2.7 XXE漏洞 (90)
2.7.1 XML的常見接口 (91)
2.7.2 XXE漏洞審計 (94)
2.7.3 XXE漏洞修復 (96)
2.8 SSRF漏洞 (97)
2.8.1 SSRF漏洞簡介 (97)
2.8.2 SSRF漏洞常見接口 (98)
2.8.3 SSRF漏洞審計 (101)
2.8.4 SSRF漏洞修復 (103)
2.9 SpEL表達式注入漏洞 (105)
2.9.1 SpEL介紹 (105)
2.9.2 SpEL漏洞 (106)
2.9.3 SpEL漏洞審計 (107)
2.9.4 SpEL漏洞修復 (109)
2.10 Java反序列化漏洞 (109)
2.10.1 Java序列化與反序列化 (110)
2.10.2 Java反序列化漏洞審計 (113)
2.10.3 Java反序列化漏洞修復 (116)
2.11 SSTI模板注入漏洞 (118)
2.11.1 Velocity模板引擎介紹 (119)
2.11.2 SSTI漏洞審計 (120)
2.11.3 SSTI漏洞修復 (121)
2.12 整數溢出漏洞 (122)
2.12.1 整數溢出漏洞介紹 (122)
2.12.2 整數溢出漏洞修復 (122)
2.13 硬編碼密碼漏洞 (123)
2.14 不安全的隨機數生成器 (124)
第3章 常見的框架漏洞 (127)
3.1 Spring框架 (127)
3.1.1 Spring介紹 (127)
3.1.2 **個Spring MVC項目 (128)
3.1.3 CVE-2018-1260 Spring Security OAuth2 RCE (139)
3.1.4 CVE-2018-1273 Spring Data Commons RCE (144)
3.1.5 CVE-2017-8046 Spring Data Rest RCE (149)
3.2 Struts2 框架 (156)
3.2.1 Struts2介紹 (156)
3.2.2 **個Struts2項目 (157)
3.2.3 OGNL表達式介紹 (166)
3.2.4 S2-045遠程代碼執行漏洞 (170)
3.2.5 S2-048遠程代碼執行漏洞 (179)
3.2.6 S2-057遠程代碼執行漏洞 (183)
第4章 代碼審計實戰 (190)
4.1 OFCMS審計案例 (190)
4.1.1 SQL注入漏洞 (194)
4.1.2 目錄遍歷漏洞 (196)
4.1.3 任意文件上傳漏洞 (199)
4.1.4 模板注入漏洞 (204)
4.1.5 儲存型XSS漏洞 (205)
4.1.6 CSRF漏洞 (207)
4.2 MCMS審計案例 (209)
4.2.1 任意文件上傳漏洞 (212)
4.2.2 任意文件解壓 (217)
1.1 Java Web環境搭建 (1)
1.1.1 Java EE介紹 (1)
1.1.2 Java EE環境搭建 (1)
1.2 Java Web動態調試 (18)
1.2.1 Eclipse動態調試 (19)
1.2.2 IDEA動態調試程序 (21)
第2章 常見漏洞審計 (32)
2.1 SQL注入漏洞 (32)
2.1.1 SQL注入漏洞簡介 (32)
2.1.2 執行SQL語句的幾種方式 (33)
2.1.3 常見Java SQL注入 (38)
2.1.4 常規注入代碼審計 (46)
2.1.5 二次注入代碼審計 (48)
2.1.6 SQL注入漏洞修復 (51)
2.2 任意文件上傳漏洞 (53)
2.2.1 常見文件上傳方式 (53)
2.2.2 文件上傳漏洞審計 (56)
2.2.3 文件上傳漏洞修復 (59)
2.3 XSS漏洞 (61)
2.3.1 XSS常見觸發位置 (61)
2.3.2 反射型XSS (65)
2.3.3 存儲型XSS (66)
2.3.4 XSS漏洞修復 (70)
2.4 目錄穿越漏洞 (73)
2.4.1 目錄穿越漏洞簡介 (73)
2.4.2 目錄穿越漏洞審計 (74)
2.4.3 目錄穿越漏洞修復 (75)
2.5 URL跳轉漏洞 (76)
2.5.1 URL重定向 (77)
2.5.2 URL跳轉漏洞審計 (78)
2.5.3 URL跳轉漏洞修復 (79)
2.6 命令執行漏洞 (80)
2.6.1 命令執行漏洞簡介 (80)
2.6.2 ProcessBuilder命令執行漏洞 (80)
2.6.3 Runtime exec命令執行漏洞 (83)
2.6.4 命令執行漏洞修復 (90)
2.7 XXE漏洞 (90)
2.7.1 XML的常見接口 (91)
2.7.2 XXE漏洞審計 (94)
2.7.3 XXE漏洞修復 (96)
2.8 SSRF漏洞 (97)
2.8.1 SSRF漏洞簡介 (97)
2.8.2 SSRF漏洞常見接口 (98)
2.8.3 SSRF漏洞審計 (101)
2.8.4 SSRF漏洞修復 (103)
2.9 SpEL表達式注入漏洞 (105)
2.9.1 SpEL介紹 (105)
2.9.2 SpEL漏洞 (106)
2.9.3 SpEL漏洞審計 (107)
2.9.4 SpEL漏洞修復 (109)
2.10 Java反序列化漏洞 (109)
2.10.1 Java序列化與反序列化 (110)
2.10.2 Java反序列化漏洞審計 (113)
2.10.3 Java反序列化漏洞修復 (116)
2.11 SSTI模板注入漏洞 (118)
2.11.1 Velocity模板引擎介紹 (119)
2.11.2 SSTI漏洞審計 (120)
2.11.3 SSTI漏洞修復 (121)
2.12 整數溢出漏洞 (122)
2.12.1 整數溢出漏洞介紹 (122)
2.12.2 整數溢出漏洞修復 (122)
2.13 硬編碼密碼漏洞 (123)
2.14 不安全的隨機數生成器 (124)
第3章 常見的框架漏洞 (127)
3.1 Spring框架 (127)
3.1.1 Spring介紹 (127)
3.1.2 **個Spring MVC項目 (128)
3.1.3 CVE-2018-1260 Spring Security OAuth2 RCE (139)
3.1.4 CVE-2018-1273 Spring Data Commons RCE (144)
3.1.5 CVE-2017-8046 Spring Data Rest RCE (149)
3.2 Struts2 框架 (156)
3.2.1 Struts2介紹 (156)
3.2.2 **個Struts2項目 (157)
3.2.3 OGNL表達式介紹 (166)
3.2.4 S2-045遠程代碼執行漏洞 (170)
3.2.5 S2-048遠程代碼執行漏洞 (179)
3.2.6 S2-057遠程代碼執行漏洞 (183)
第4章 代碼審計實戰 (190)
4.1 OFCMS審計案例 (190)
4.1.1 SQL注入漏洞 (194)
4.1.2 目錄遍歷漏洞 (196)
4.1.3 任意文件上傳漏洞 (199)
4.1.4 模板注入漏洞 (204)
4.1.5 儲存型XSS漏洞 (205)
4.1.6 CSRF漏洞 (207)
4.2 MCMS審計案例 (209)
4.2.1 任意文件上傳漏洞 (212)
4.2.2 任意文件解壓 (217)
展開全部
網絡安全Java代碼審計實戰 作者簡介
高昌盛:奇安信集團奇物安全實驗室安全研究員,主要從事Web安全與物聯網安全研究方向。國內知名CTF戰隊W&M戰隊隊長,白帽一百安全團隊負責人,DEFCON GROUP 0571發起人。曾多次在各類安全沙龍進行演講,獲得過多個***CTF競賽一等獎。閔海釗:奇安信集團認證培訓部技術經理,安全組織defcon group 0531發起人之一,第二屆"藍帽杯"全國大學生網絡安全技能大賽專家組組長,教育部ECSP認證講師,在CVE、CNNVD、CNVD提交多個高危原創漏洞,取得教育部信息安全對團體抗賽一等獎、中國信息安全技能大賽二等獎證書等多個CTF比賽獎項。孫基栩:山東大學網絡空間安全實驗室成員,紅日安全團隊核心成員,Defcon group Speaker、360Bugcloud榮譽講師。主要研究方向為工控安全、紅藍對抗,曾在各大漏洞平臺提交并審核通過數十枚通用型漏洞。
書友推薦
- >
李白與唐代文化
- >
新文學天穹兩巨星--魯迅與胡適/紅燭學術叢書(紅燭學術叢書)
- >
中國人在烏蘇里邊疆區:歷史與人類學概述
- >
莉莉和章魚
- >
大紅狗在馬戲團-大紅狗克里弗-助人
- >
煙與鏡
- >
中國歷史的瞬間
- >
史學評論
本類暢銷
