计算机 类型
可以朗读 语音朗读
161千字 字数
2021-10-01 发行日期
展开全部

主编推荐语

本书是奇安信认证网络安全工程师培训教材之一,目的是为网络安全行业培养合格的人才。

内容简介

本书分为4章。第1章代码审计基础,内容包括基础Java开发环境搭建、代码审计环境搭建。第2章常见漏洞审计,介绍了多种常见漏洞的成因以及审计和修复的技巧。第3章常见的框架漏洞,介绍了Java开发中经常使用的一些框架的典型漏洞,如Spring、Struts2等的命令执行漏洞。第4章代码审计实战,通过对真实环境下的Java应用程序进行审计,向读者详细介绍了Java代码审计的技巧与方法。

本书可供软件开发工程师、网络运维人员、渗透测试工程师、网络安全工程师,以及想要从事网络安全工作的人员阅读。

目录

  • 版权信息
  • 内容简介
  • 前言
  • 第1章 代码审计基础
  • 1.1 Java Web环境搭建
  • 1.1.1 Java EE介绍
  • 1.1.2 Java EE环境搭建
  • 1.2 Java Web动态调试
  • 1.2.1 Eclipse动态调试
  • 1.2.2 IDEA动态调试程序
  • 第2章 常见漏洞审计
  • 2.1 SQL注入漏洞
  • 2.1.1 SQL注入漏洞简介
  • 2.1.2 执行SQL语句的几种方式
  • 2.1.3 常见Java SQL注入
  • 2.1.4 常规注入代码审计
  • 2.1.5 二次注入代码审计
  • 2.1.6 SQL注入漏洞修复
  • 2.2 任意文件上传漏洞
  • 2.2.1 常见文件上传方式
  • 2.2.2 文件上传漏洞审计
  • 2.2.3 文件上传漏洞修复
  • 2.3 XSS漏洞
  • 2.3.1 XSS常见触发位置
  • 2.3.2 反射型XSS
  • 2.3.3 存储型XSS
  • 2.3.4 XSS漏洞修复
  • 2.4 目录穿越漏洞
  • 2.4.1 目录穿越漏洞简介
  • 2.4.2 目录穿越漏洞审计
  • 2.4.3 目录穿越漏洞修复
  • 2.5 URL跳转漏洞
  • 2.5.1 URL重定向
  • 2.5.2 URL跳转漏洞审计
  • 2.5.3 URL跳转漏洞修复
  • 2.6 命令执行漏洞
  • 2.6.1 命令执行漏洞简介
  • 2.6.2 ProcessBuilder命令执行漏洞
  • 2.6.3 Runtime exec命令执行漏洞
  • 2.6.4 命令执行漏洞修复
  • 2.7 XXE漏洞
  • 2.7.1 XML的常见接口
  • 2.7.2 XXE漏洞审计
  • 2.7.3 XXE漏洞修复
  • 2.8 SSRF漏洞
  • 2.8.1 SSRF漏洞简介
  • 2.8.2 SSRF漏洞常见接口
  • 2.8.3 SSRF漏洞审计
  • 2.8.4 SSRF漏洞修复
  • 2.9 SpEL表达式注入漏洞
  • 2.9.1 SpEL介绍
  • 2.9.2 SpEL漏洞
  • 2.9.3 SpEL漏洞审计
  • 2.9.4 SpEL漏洞修复
  • 2.10 Java反序列化漏洞
  • 2.10.1 Java序列化与反序列化
  • 2.10.2 Java反序列化漏洞审计
  • 2.10.3 Java反序列化漏洞修复
  • 2.11 SSTI模板注入漏洞
  • 2.11.1 Velocity模板引擎介绍
  • 2.11.2 SSTI漏洞审计
  • 2.11.3 SSTI漏洞修复
  • 2.12 整数溢出漏洞
  • 2.12.1 整数溢出漏洞介绍
  • 2.12.2 整数溢出漏洞修复
  • 2.13 硬编码密码漏洞
  • 2.14 不安全的随机数生成器
  • 第3章 常见的框架漏洞
  • 3.1 Spring框架
  • 3.1.1 Spring介绍
  • 3.1.2 第一个Spring MVC项目
  • 3.1.3 CVE-2018-1260 Spring Security OAuth2 RCE
  • 3.1.4 CVE-2018-1273 Spring Data Commons RCE
  • 3.1.5 CVE-2017-8046 Spring Data Rest RCE
  • 3.2 Struts2 框架
  • 3.2.1 Struts2介绍
  • 3.2.2 第一个Struts2项目
  • 3.2.3 OGNL表达式介绍
  • 3.2.4 S2-045远程代码执行漏洞
  • 3.2.5 S2-048远程代码执行漏洞
  • 3.2.6 S2-057远程代码执行漏洞
  • 第4章 代码审计实战
  • 4.1 OFCMS审计案例
  • 4.1.1 SQL注入漏洞
  • 4.1.2 目录遍历漏洞
  • 4.1.3 任意文件上传漏洞
  • 4.1.4 模板注入漏洞
  • 4.1.5 储存型XSS漏洞
  • 4.1.6 CSRF漏洞
  • 4.2 MCMS审计案例
  • 4.2.1 任意文件上传漏洞
  • 4.2.2 任意文件解压
展开全部

评分及书评

评分不足
1个评分
  • 用户头像
    给这本书评了
    5.0

    随着互联网的高速发展,各类新型 Web 攻击层出不穷。NIST(美国国家标准与技术研究院)的研究表明,在软件开发生命周期中,在软件发布以后进行修复的代价是在软件设计和编码阶段即进行修复所花代价的 30 倍,所以在软件系统发布后才发现系统缺陷,然后再去进行修复,这样的代价是很大的。如何在软件系统发布前找到 Web 应用系统存在的隐藏漏洞已成为众多企业普遍面临的问题。

      转发
      评论

    出版方

    电子工业出版社

    电子工业出版社成立于1982年10月,是国务院独资、工信部直属的中央级科技与教育出版社,是专业的信息技术知识集成和服务提供商。经过三十多年的建设与发展,已成为一家以科技和教育出版、期刊、网络、行业支撑服务、数字出版、软件研发、软科学研究、职业培训和教育为核心业务的现代知识服务集团。出版物内容涵盖了电子信息技术的各个分支及工业技术、经济管理、科普与少儿、社科人文等领域,综合出版能力位居全国出版行业前列。