中圖網小程序
一鍵登錄
更方便
本類五星書更多>
-
>
全國計算機等級考試最新真考題庫模擬考場及詳解·二級MSOffice高級應用
-
>
決戰行測5000題(言語理解與表達)
-
>
軟件性能測試.分析與調優實踐之路
-
>
第一行代碼Android
-
>
JAVA持續交付
-
>
EXCEL最強教科書(完全版)(全彩印刷)
-
>
深度學習
源代碼安全審計基礎――注冊網絡安全源代碼審計專業人員(NSATP-SCA)培訓認證教材 版權信息
- ISBN:9787121449710
- 條形碼:9787121449710 ; 978-7-121-44971-0
- 裝幀:一般膠版紙
- 冊數:暫無
- 重量:暫無
- 所屬分類:>
源代碼安全審計基礎――注冊網絡安全源代碼審計專業人員(NSATP-SCA)培訓認證教材 本書特色
適讀人群 :網絡安全滲透測試人員、企業網絡安全防護人員及研發、運維、測試等技術人員本書既是注冊網絡安全源代碼審計專業人員(NSATP-SCA)認證培訓的理論知識培訓教材,也可以作為網絡安全滲透測試人員、企業網絡安全防護人員及研發、運維、測試等技術人員入門和精進代碼審計的參考書。
源代碼安全審計基礎――注冊網絡安全源代碼審計專業人員(NSATP-SCA)培訓認證教材 內容簡介
本書內容是注冊網絡安全源代碼審計專業人員(NSATP-SCA)認證培訓的理論知識部分,對代碼審計的基礎知識和涉及的內容、代碼安全審計規范和審計指標進行了全面的介紹,同時,針對目前常用的程序設計語言Java、C/C++和C#,分別基于其特點和漏洞測試規范中的案例進行了具體的分析和解讀。本書參考了大量國內外代碼安全審計規范、安全開發規范、常見漏洞庫和相關文獻,并進行了解析、匯總和提取,以系統地闡述代碼審計的思想、技術和方法,構建完備的代碼審計知識體系,旨在為代碼審計人員提供全面和系統的指導。
源代碼安全審計基礎――注冊網絡安全源代碼審計專業人員(NSATP-SCA)培訓認證教材 目錄
第1篇 代碼審計基礎
第1章 代碼安全現狀 2
1.1 典型漏洞代碼案例分析 2
1.2 代碼審計的基本思想 5
1.3 代碼審計的現狀 5
第2章 代碼審計概述 7
2.1 代碼審計的概念 7
2.2 代碼審計對象 7
2.3 代碼審計的目的 7
2.4 代碼審計的原則 7
2.5 代碼審計要素 8
2.6 代碼審計的內容 9
2.6.1 認證管理 9
2.6.2 授權管理 11
2.6.3 輸入/輸出驗證 11
2.6.4 密碼管理 12
2.6.5 調試和接口 12
2.6.6 會話管理 13
2.7 代碼審計的成果 13
2.8 代碼審計的價值與意義 14
2.9 代碼審計的發展趨勢 14
第3章 代碼審計與漏洞驗證相關工具 15
3.1 常用代碼編輯器 15
3.2 常用代碼審計工具 18
3.3 常用漏洞驗證工具 23
第4章 代碼審計方法 28
4.1 自上而下 28
4.1.1 通讀代碼的技巧 28
4.1.2 應用案例 30
4.2 自下而上 39
4.3 利用功能點定向審計 42
4.4 優先審計框架安全 44
4.5 邏輯覆蓋 45
4.5.1 白盒測試 45
4.5.2 邏輯覆蓋法 47
4.6 代碼審計方法綜合應用示例 54
第5章 代碼審計技術 56
5.1 詞法分析 56
5.2 語法分析 59
5.3 基于抽象語法樹的語義分析 59
5.4 控制流分析 63
5.5 數據流分析 65
5.6 規則檢查分析 66
小結 67
參考資料 68
第2篇 代碼審計規范
第6章 代碼審計規范解讀 72
6.1 代碼審計說明 72
6.2 常用術語 72
6.3 代碼審計的時機 73
6.4 代碼審計方法 73
6.5 代碼審計流程 74
6.6 代碼審計報告 76
第7章 代碼審計指標 78
7.1 安全功能缺陷審計指標 78
7.1.1 數據清洗 78
7.1.2 數據加密與保護 86
7.1.3 訪問控制 88
7.1.4 日志安全 92
7.2 代碼實現缺陷審計指標 92
7.2.1 面向對象程序安全 92
7.2.2 并發程序安全 95
7.2.3 函數調用安全 97
7.2.4 異常處理安全 100
7.2.5 指針安全 101
7.2.6 代碼生成安全 103
7.3 資源使用缺陷審計指標 103
7.3.1 資源管理 103
7.3.2 內存管理 106
7.3.3 數據庫使用 110
7.3.4 文件管理 110
7.3.5 網絡傳輸 111
7.4 環境安全缺陷審計指標 113
小結 113
參考資料 114
第3篇 代碼安全審計參考規范
第8章 國際代碼安全開發參考規范 116
8.1 CVE 116
8.1.1 CVE概述 116
8.1.2 CVE的產生背景 116
8.1.3 CVE的特點 116
8.1.4 CVE條目舉例 117
8.2 OWASP 118
8.2.1 OWASP概述 118
8.2.2 OWASP Top 10 118
8.2.3 OWASP安全測試指導方案 139
8.2.4 OWASP安全計劃指導方案 140
8.2.5 OWASP應用程序管理方案 141
8.3 CWE 143
第9章 國內源代碼漏洞測試規范 165
9.1 軟件測試 165
9.2 《Java語言源代碼漏洞測試規范》解讀 171
9.2.1 適用范圍 171
9.2.2 術語和定義 171
9.2.3 Java源代碼漏洞測試總則 174
9.2.4 Java源代碼漏洞測試工具 178
9.2.5 Java源代碼漏洞測試文檔 179
9.2.6 Java源代碼漏洞測試內容 183
9.3 《C/C++語言源代碼漏洞測試規范》解讀 229
9.3.1 適用范圍 230
9.3.2 術語和定義 230
9.3.3 C/C++源代碼漏洞測試總則 232
9.3.4 C/C++源代碼漏洞測試工具 236
9.3.5 C/C++源代碼漏洞測試文檔 236
9.3.6 C/C++源代碼漏洞測試內容 236
9.4 《C#語言源代碼漏洞測試規范》解讀 272
9.4.1 適用范圍 273
9.4.2 術語和定義 273
9.4.3 C#源代碼漏洞測試總則 276
9.4.4 C#源代碼漏洞測試工具 279
9.4.5 C#源代碼漏洞測試文檔 280
9.4.6 C#源代碼漏洞測試內容 280
小結 329
參考資料 330
第4篇 實際開發中的常見漏洞分析
第10章 實際開發中常見的Java源代碼漏洞分析 334
10.1 SQL注入 334
10.2 跨站腳本攻擊 341
10.3 命令注入 347
10.4 密碼硬編碼 351
10.5 隱私泄露 353
10.6 Header Manipulation 356
10.7 日志偽造 358
10.8 單例成員字段 361
第11章 實際開發中常見的C/C++源代碼漏洞分析 364
11.1 二次釋放 364
11.2 錯誤的內存釋放對象 366
11.3 返回棧地址 367
11.4 返回值未初始化 369
11.5 內存泄漏 370
11.6 資源未釋放 371
11.7 函數地址使用不當 372
11.8 解引用未初始化的指針 374
小結 375
參考資料 375
英文縮略語 377
展開全部
源代碼安全審計基礎――注冊網絡安全源代碼審計專業人員(NSATP-SCA)培訓認證教材 作者簡介
本書作者牽頭《GB/T 36958-2018 信息安全技術 網絡安全等級保護安全管理中心技術要求》,參與《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》等10余項國家標準和行業標準的制定,作為項目負責人完成了《信息技術安全通用評價機制和關鍵技術研究》、《產品和服務網絡安全審查指標體系建設和評價方法研究》等國家重點研發計劃課題項目,發表了《網絡安全測評領域能力驗證的設計方法和關鍵技術研究》等多篇期刊論文。
書友推薦
- >
詩經-先民的歌唱
- >
羅曼·羅蘭讀書隨筆-精裝
- >
李白與唐代文化
- >
龍榆生:詞曲概論/大家小書
- >
人文閱讀與收藏·良友文學叢書:一天的工作
- >
經典常談
- >
有舍有得是人生
- >
莉莉和章魚
本類暢銷
