科技 类型
可以朗读 语音朗读
125千字 字数
2018-11-01 发行日期
展开全部

主编推荐语

本书系统性介绍软件安全代码审查方法。

内容简介

本书分为两大部分,共15章。第一部分包含第1~4章,介绍了安全代码审查的作用和方法,以及在软件安全开发生命周期(S-SDLC)代码审查过程中查找安全漏洞的方法。第二部分包含第5~15章,介绍2013年版《OWASPTop10》中提出的安全风险的处理方法和技术,以及其他漏洞处理的方法和技术。

本书适合软件研发组织机构的高层管理人员、专业技术负责人、开发人员、测试人员和软件安全人员,以及高等院校软件工程、网络安全专业的师生等阅读学习。

目录

  • 版权信息
  • 内容简介
  • 序1
  • 序2
  • 前言
  • 中文版说明
  • 第1章 如何使用《应用软件安全代码审查指南》
  • 第2章 安全代码审查
  • 2.1 为什么代码有漏洞
  • 2.2 代码审查和安全代码审查之间的区别是什么
  • 2.3 什么是安全代码审查
  • 2.4 确定安全代码审查的范围
  • 2.5 我们不能破解自己的安全性
  • 2.6 安全代码审查和渗透测试耦合
  • 2.7 安全代码审查对开发实践的好处
  • 2.8 安全代码审查的技术
  • 2.9 安全代码审查与合规性
  • 第3章 安全代码审查的方法论
  • 3.1 制定安全代码审查流程时需要考虑的因素
  • 3.1.1 风险
  • 3.1.2 目的与背景
  • 3.1.3 代码行数
  • 3.1.4 编程语言
  • 3.1.5 资源、时间和期限
  • 3.2 在S-SDLC中集成安全代码审查
  • 3.3 何时进行安全代码审查
  • 3.4 敏捷和瀑布开发中的安全代码审查
  • 3.5 基于风险的安全代码审查方法
  • 3.6 安全代码审查准备
  • 3.7 安全代码审查发现和信息收集
  • 3.8 静态代码分析
  • 3.9 应用威胁建模
  • 3.10 度量指标和安全代码审查
  • 3.11 代码爬行
  • 第4章 安全代码审查注意事项
  • 第5章 A1注入攻击
  • 5.1 概述
  • 5.2 概览
  • 5.3 SQL盲注
  • 5.3.1 SQL查询参数化
  • 5.3.2 安全的字符串拼接
  • 5.3.3 运用灵活的参数化语句
  • 5.3.4 PHP SQL注入
  • 5.3.5 Java SQL注入
  • 5.3.6.NET SQL注入
  • 5.3.7 参数集合
  • 5.4 要点回顾
  • 5.5 OWASP参考资料
  • 5.6 其他参考资料
  • 第6章 A2失效的身份认证和会话管理
  • 6.1 失效的身份认证
  • 6.1.1 概述
  • 6.1.2 概览
  • 6.1.3 如何审查
  • 6.1.4 参考资料
  • 6.1.5 被遗忘的密码
  • 6.1.6 验证码
  • 6.1.7 带外通信
  • 6.2 A2会话管理
  • 6.2.1 概述
  • 6.2.2 概览
  • 6.2.3 审查的内容
  • 6.2.4 会话超时
  • 6.2.5 会话注销和结束
  • 6.2.6 会话管理的服务器端防御
  • 第7章 A3跨站脚本攻击(XSS)
  • 7.1 什么是跨站脚本攻击(XSS)
  • 7.2 概览
  • 7.3 如何审查
  • 7.3.1 安全代码审查需要详尽
  • 7.3.2 工具介绍
  • 7.4 OWASP参考资料
  • 7.5 其他参考资料
  • 第8章 A4不安全的直接对象引用
  • 8.1 概述
  • 8.2 概览
  • 8.3 如何审查
  • 8.3.1 SQL注入
  • 8.3.2 HTTP POST请求
  • 8.3.3 间接引用映射
  • 8.3.4 数据绑定技术
  • 8.3.5 安全设计建议
  • 8.3.6 审查准则
  • 8.4 安全代码审查人员应该做什么
  • 8.5 MVC.NET中的绑定问题
  • 8.5.1 相应的视图(HTML)
  • 8.5.2 建议
  • 8.6 参考资料
  • 第9章 A5安全配置错误
  • 9.1 Apache Struts
  • 9.2 Java企业版声明配置
  • 9.3 JEE注释
  • 9.4 框架特定配置:Apache Tomcat
  • 9.5 框架特定配置:Jetty
  • 9.6 框架特定配置:JBoss AS
  • 9.7 框架特定配置:Oracle WebLogic
  • 9.8 程序配置:JEE
  • 9.9 Microsoft IIS
  • 9.10 框架特定配置:Microsoft II
  • 9.11 程序配置:Microsoft IIS
  • 9.12 进一步的IIS配置
  • 9.12.1 过滤请求和URL重写
  • 9.12.2 参考资料
  • 9.13 强名称
  • 9.13.1 如何使用强名称
  • 9.13.2 参考资料
  • 9.14 Round Tripping
  • 9.14.1 混淆的重要性
  • 9.14.2 使用混淆
  • 9.14.3 ASPNetConfigs
  • 9.14.4 参考资料
  • 9.15 .NET验证控件
  • 第10章 A6敏感数据暴露
  • 10.1 加密控制
  • 10.1.1 概述
  • 10.1.2 审查内容:传输保护
  • 10.1.3 审查内容:存储保护
  • 10.1.4 加密、哈希和盐值
  • 10.1.5 参考资料
  • 10.2 减少攻击面
  • 10.2.1 概述
  • 10.2.2 审查内容
  • 10.2.3 参考资料
  • 第11章 A7功能级权限控制缺失
  • 11.1 授权
  • 11.2 概述
  • 11.3 注意事项
  • 11.4 访问控制备忘单
  • 11.4.1 硬编码方法
  • 11.4.2 防御访问控制攻击
  • 第12章 A8跨站请求伪造(CSRF)
  • 12.1 概述
  • 12.2 CSRF的工作原理
  • 12.3 注意事项
  • 12.3.1 无效的防御措施
  • 12.3.2 高风险功能
  • 12.3.3 防御CSRF攻击
  • 第13章 A9使用含有已知漏洞的组件
  • 13.1 概述
  • 13.2 注意事项
  • 第14章 A10未经验证的重定向和转发
  • 14.1 概述
  • 14.2 注意事项
  • 14.3 参考资料
  • 第15章 其他技术
  • 15.1 HTML5
  • 15.1.1 概述
  • 15.1.2 注意事项:Web信息传递
  • 15.1.3 注意事项:跨源资源共享
  • 15.1.4 注意事项:WebSockets
  • 15.1.5 注意事项:服务器推送事件
  • 15.2 同源策略
  • 15.2.1 概述
  • 15.2.2 注意事项
  • 15.3 审计日志代码
  • 15.3.1 概述
  • 15.3.2 注意事项
  • 15.3.3 参考资料
  • 15.4 错误处理
  • 15.4.1 概述
  • 15.4.2 注意事项
  • 15.4.3 注意事项:安全的失败
  • 15.4.4 注意事项:潜在漏洞代码
  • 15.4.5 注意事项:IIS错误处理
  • 15.4.6 注意事项:在Apache中处理错误
  • 15.4.7 注意事项:领先的实践错误处理
  • 15.4.8 注意事项:捕获异常的顺序
  • 15.4.9 注意事项:释放资源和良好的资源管理
  • 15.4.10 参考资料
  • 15.5 查看安全警报
  • 15.5.1 概述
  • 15.5.2 注意事项
  • 15.6 检查主动防御
  • 15.6.1 概述
  • 15.6.2 注意事项
  • 15.6.3 参考资料
  • 15.7 竞争条件
  • 15.7.1 概述
  • 15.7.2 注意事项
  • 15.7.3 参考资料
  • 15.8 缓冲区溢出
  • 15.8.1 概述
  • 15.8.2 注意事项:缓冲区溢出
  • 15.8.3 注意事项:格式函数溢出
  • 15.8.4 注意事项:整数溢出
  • 15.8.5 参考资料
  • 附录A 软件安全开发生命周期图表
  • 附录B 安全代码审查清单
  • 附录C 威胁建模示例
  • C.1 威胁建模示例步骤1:分解应用
  • C.2 威胁建模示例步骤2:威胁分类
  • C.3 威胁建模示例步骤3:确定对策
  • 附录D 代码爬虫
  • D.1 在.NET中搜索代码
  • D.2 在Java中搜索代码
  • D.3 在经典ASP中搜索代码
  • D.4 在JavaScript和Ajax中搜索代码
  • D.5 在C++和Apache中搜索代码
  • 附录E 参考资料
  • 反侵权盗版声明
展开全部

评分及书评

尚无评分
目前还没人评分

出版方

电子工业出版社

电子工业出版社成立于1982年10月,是国务院独资、工信部直属的中央级科技与教育出版社,是专业的信息技术知识集成和服务提供商。经过三十多年的建设与发展,已成为一家以科技和教育出版、期刊、网络、行业支撑服务、数字出版、软件研发、软科学研究、职业培训和教育为核心业务的现代知识服务集团。出版物内容涵盖了电子信息技术的各个分支及工业技术、经济管理、科普与少儿、社科人文等领域,综合出版能力位居全国出版行业前列。