科技
类型
可以朗读
语音朗读
125千字
字数
2018-11-01
发行日期
展开全部
主编推荐语
本书系统性介绍软件安全代码审查方法。
内容简介
本书分为两大部分,共15章。第一部分包含第1~4章,介绍了安全代码审查的作用和方法,以及在软件安全开发生命周期(S-SDLC)代码审查过程中查找安全漏洞的方法。第二部分包含第5~15章,介绍2013年版《OWASPTop10》中提出的安全风险的处理方法和技术,以及其他漏洞处理的方法和技术。
本书适合软件研发组织机构的高层管理人员、专业技术负责人、开发人员、测试人员和软件安全人员,以及高等院校软件工程、网络安全专业的师生等阅读学习。
目录
- 版权信息
- 内容简介
- 序1
- 序2
- 前言
- 中文版说明
- 第1章 如何使用《应用软件安全代码审查指南》
- 第2章 安全代码审查
- 2.1 为什么代码有漏洞
- 2.2 代码审查和安全代码审查之间的区别是什么
- 2.3 什么是安全代码审查
- 2.4 确定安全代码审查的范围
- 2.5 我们不能破解自己的安全性
- 2.6 安全代码审查和渗透测试耦合
- 2.7 安全代码审查对开发实践的好处
- 2.8 安全代码审查的技术
- 2.9 安全代码审查与合规性
- 第3章 安全代码审查的方法论
- 3.1 制定安全代码审查流程时需要考虑的因素
- 3.1.1 风险
- 3.1.2 目的与背景
- 3.1.3 代码行数
- 3.1.4 编程语言
- 3.1.5 资源、时间和期限
- 3.2 在S-SDLC中集成安全代码审查
- 3.3 何时进行安全代码审查
- 3.4 敏捷和瀑布开发中的安全代码审查
- 3.5 基于风险的安全代码审查方法
- 3.6 安全代码审查准备
- 3.7 安全代码审查发现和信息收集
- 3.8 静态代码分析
- 3.9 应用威胁建模
- 3.10 度量指标和安全代码审查
- 3.11 代码爬行
- 第4章 安全代码审查注意事项
- 第5章 A1注入攻击
- 5.1 概述
- 5.2 概览
- 5.3 SQL盲注
- 5.3.1 SQL查询参数化
- 5.3.2 安全的字符串拼接
- 5.3.3 运用灵活的参数化语句
- 5.3.4 PHP SQL注入
- 5.3.5 Java SQL注入
- 5.3.6.NET SQL注入
- 5.3.7 参数集合
- 5.4 要点回顾
- 5.5 OWASP参考资料
- 5.6 其他参考资料
- 第6章 A2失效的身份认证和会话管理
- 6.1 失效的身份认证
- 6.1.1 概述
- 6.1.2 概览
- 6.1.3 如何审查
- 6.1.4 参考资料
- 6.1.5 被遗忘的密码
- 6.1.6 验证码
- 6.1.7 带外通信
- 6.2 A2会话管理
- 6.2.1 概述
- 6.2.2 概览
- 6.2.3 审查的内容
- 6.2.4 会话超时
- 6.2.5 会话注销和结束
- 6.2.6 会话管理的服务器端防御
- 第7章 A3跨站脚本攻击(XSS)
- 7.1 什么是跨站脚本攻击(XSS)
- 7.2 概览
- 7.3 如何审查
- 7.3.1 安全代码审查需要详尽
- 7.3.2 工具介绍
- 7.4 OWASP参考资料
- 7.5 其他参考资料
- 第8章 A4不安全的直接对象引用
- 8.1 概述
- 8.2 概览
- 8.3 如何审查
- 8.3.1 SQL注入
- 8.3.2 HTTP POST请求
- 8.3.3 间接引用映射
- 8.3.4 数据绑定技术
- 8.3.5 安全设计建议
- 8.3.6 审查准则
- 8.4 安全代码审查人员应该做什么
- 8.5 MVC.NET中的绑定问题
- 8.5.1 相应的视图(HTML)
- 8.5.2 建议
- 8.6 参考资料
- 第9章 A5安全配置错误
- 9.1 Apache Struts
- 9.2 Java企业版声明配置
- 9.3 JEE注释
- 9.4 框架特定配置:Apache Tomcat
- 9.5 框架特定配置:Jetty
- 9.6 框架特定配置:JBoss AS
- 9.7 框架特定配置:Oracle WebLogic
- 9.8 程序配置:JEE
- 9.9 Microsoft IIS
- 9.10 框架特定配置:Microsoft II
- 9.11 程序配置:Microsoft IIS
- 9.12 进一步的IIS配置
- 9.12.1 过滤请求和URL重写
- 9.12.2 参考资料
- 9.13 强名称
- 9.13.1 如何使用强名称
- 9.13.2 参考资料
- 9.14 Round Tripping
- 9.14.1 混淆的重要性
- 9.14.2 使用混淆
- 9.14.3 ASPNetConfigs
- 9.14.4 参考资料
- 9.15 .NET验证控件
- 第10章 A6敏感数据暴露
- 10.1 加密控制
- 10.1.1 概述
- 10.1.2 审查内容:传输保护
- 10.1.3 审查内容:存储保护
- 10.1.4 加密、哈希和盐值
- 10.1.5 参考资料
- 10.2 减少攻击面
- 10.2.1 概述
- 10.2.2 审查内容
- 10.2.3 参考资料
- 第11章 A7功能级权限控制缺失
- 11.1 授权
- 11.2 概述
- 11.3 注意事项
- 11.4 访问控制备忘单
- 11.4.1 硬编码方法
- 11.4.2 防御访问控制攻击
- 第12章 A8跨站请求伪造(CSRF)
- 12.1 概述
- 12.2 CSRF的工作原理
- 12.3 注意事项
- 12.3.1 无效的防御措施
- 12.3.2 高风险功能
- 12.3.3 防御CSRF攻击
- 第13章 A9使用含有已知漏洞的组件
- 13.1 概述
- 13.2 注意事项
- 第14章 A10未经验证的重定向和转发
- 14.1 概述
- 14.2 注意事项
- 14.3 参考资料
- 第15章 其他技术
- 15.1 HTML5
- 15.1.1 概述
- 15.1.2 注意事项:Web信息传递
- 15.1.3 注意事项:跨源资源共享
- 15.1.4 注意事项:WebSockets
- 15.1.5 注意事项:服务器推送事件
- 15.2 同源策略
- 15.2.1 概述
- 15.2.2 注意事项
- 15.3 审计日志代码
- 15.3.1 概述
- 15.3.2 注意事项
- 15.3.3 参考资料
- 15.4 错误处理
- 15.4.1 概述
- 15.4.2 注意事项
- 15.4.3 注意事项:安全的失败
- 15.4.4 注意事项:潜在漏洞代码
- 15.4.5 注意事项:IIS错误处理
- 15.4.6 注意事项:在Apache中处理错误
- 15.4.7 注意事项:领先的实践错误处理
- 15.4.8 注意事项:捕获异常的顺序
- 15.4.9 注意事项:释放资源和良好的资源管理
- 15.4.10 参考资料
- 15.5 查看安全警报
- 15.5.1 概述
- 15.5.2 注意事项
- 15.6 检查主动防御
- 15.6.1 概述
- 15.6.2 注意事项
- 15.6.3 参考资料
- 15.7 竞争条件
- 15.7.1 概述
- 15.7.2 注意事项
- 15.7.3 参考资料
- 15.8 缓冲区溢出
- 15.8.1 概述
- 15.8.2 注意事项:缓冲区溢出
- 15.8.3 注意事项:格式函数溢出
- 15.8.4 注意事项:整数溢出
- 15.8.5 参考资料
- 附录A 软件安全开发生命周期图表
- 附录B 安全代码审查清单
- 附录C 威胁建模示例
- C.1 威胁建模示例步骤1:分解应用
- C.2 威胁建模示例步骤2:威胁分类
- C.3 威胁建模示例步骤3:确定对策
- 附录D 代码爬虫
- D.1 在.NET中搜索代码
- D.2 在Java中搜索代码
- D.3 在经典ASP中搜索代码
- D.4 在JavaScript和Ajax中搜索代码
- D.5 在C++和Apache中搜索代码
- 附录E 参考资料
- 反侵权盗版声明
展开全部
出版方
电子工业出版社
电子工业出版社成立于1982年10月,是国务院独资、工信部直属的中央级科技与教育出版社,是专业的信息技术知识集成和服务提供商。经过三十多年的建设与发展,已成为一家以科技和教育出版、期刊、网络、行业支撑服务、数字出版、软件研发、软科学研究、职业培训和教育为核心业务的现代知识服务集团。出版物内容涵盖了电子信息技术的各个分支及工业技术、经济管理、科普与少儿、社科人文等领域,综合出版能力位居全国出版行业前列。