代碼審計(jì)：企業(yè)級(jí)Web代碼安全架構(gòu)

定　價(jià)：￥59.00

作　者：	尹毅
出版社：	機(jī)械工業(yè)出版社
叢編項(xiàng)：
標(biāo)　簽：	計(jì)算機(jī)/網(wǎng)絡(luò) 企業(yè)軟件開發(fā)與實(shí)施

購買這本書可以去

ISBN：	9787111520061	出版時(shí)間：	2015-12-01	包裝：	平裝
開本：	16開	頁數(shù)：	229	字?jǐn)?shù)：

內(nèi)容簡介

　　本書詳細(xì)介紹代碼審計(jì)的設(shè)計(jì)思路以及所需要的工具和方法，不僅用大量案例介紹了實(shí)用方法，而且剖析了各種代碼安全問題的成因與預(yù)防策略。對(duì)開發(fā)人員和安全技術(shù)人員都有參考價(jià)值。本書共分為三個(gè)部分，第一部分為代碼審計(jì)前的準(zhǔn)備，詳細(xì)介紹代碼審計(jì)前需要了解的PHP核心配置文件、PHP環(huán)境搭建的方法、代碼審計(jì)需要的工具，以及這些工具的詳細(xì)使用方法。第二部分著重介紹PHP代碼審計(jì)的中漏洞挖掘思路與防范方法，包括代碼審計(jì)的思路、常見漏洞的審計(jì)方法、二次漏洞的挖掘方法、代碼審計(jì)過程中的一些常用技巧。第三部分主要介紹PHP安全編程規(guī)范，從攻擊者的角度來告訴你應(yīng)該怎么寫出更安全的代碼，包括參數(shù)的安全過濾、PHP中常用的加密算法、常見功能通常會(huì)出現(xiàn)的安全問題、企業(yè)的應(yīng)用安全體系建設(shè)等。

作者簡介

暫缺《代碼審計(jì)：企業(yè)級(jí)Web代碼安全架構(gòu)》作者簡介

圖書目錄

Contents 目　　錄
序言
前言
導(dǎo)讀
第一部分　代碼審計(jì)前的準(zhǔn)備
第1章代碼審計(jì)環(huán)境搭建2
1.1　wamp/wnmp環(huán)境搭建2
1.2　lamp/lnmp環(huán)境搭建4
1.3　PHP核心配置詳解6
第2章審計(jì)輔助與漏洞驗(yàn)證工具14
2.1　代碼編輯器14
2.1.1　Notepad++15
2.1.2　UltraEdit15
2.1.3　Zend Studio19
2.2　代碼審計(jì)工具21
2.2.1　Seay源代碼審計(jì)系統(tǒng)21
2.2.2　Fortify SCA24
2.2.3　RIPS25
2.3　漏洞驗(yàn)證輔助27
2.3.1　Burp Suite27
2.3.2　瀏覽器擴(kuò)展32
2.3.3　編碼轉(zhuǎn)換及加解密工具36
2.3.4　正則調(diào)試工具38
2.3.5　SQL執(zhí)行監(jiān)控工具40
第二部分　漏洞發(fā)現(xiàn)與防范
第3章通用代碼審計(jì)思路46
3.1　敏感函數(shù)回溯參數(shù)過程46
3.2　通讀全文代碼50
3.3　根據(jù)功能點(diǎn)定向?qū)徲?jì)64
第4章漏洞挖掘與防范（基礎(chǔ)篇）68
4.1　SQL注入漏洞68
4.1.1　挖掘經(jīng)驗(yàn)69
4.1.2　漏洞防范74
4.2　XSS漏洞77
4.2.1　挖掘經(jīng)驗(yàn)77
4.2.2　漏洞防范82
4.3　CSRF漏洞83
4.3.1　挖掘經(jīng)驗(yàn)83
4.3.2　漏洞防范85
第5章漏洞挖掘與防范（進(jìn)階篇）88
5.1　文件操作漏洞88
5.1.1　文件包含漏洞88
5.1.2　文件讀取（下載）漏洞93
5.1.3　文件上傳漏洞95
5.1.4　文件刪除漏洞99
5.1.5　文件操作漏洞防范100
5.2　代碼執(zhí)行漏洞102
5.2.1　挖掘經(jīng)驗(yàn)102
5.2.2　漏洞防范108
5.3　命令執(zhí)行漏洞108
5.3.1　挖掘經(jīng)驗(yàn)109
5.3.2　漏洞防范112
第6章漏洞挖掘與防范（深入篇）114
6.1　變量覆蓋漏洞114
6.1.1　挖掘經(jīng)驗(yàn)115
6.1.2　漏洞防范121
6.2　邏輯處理漏洞122
6.2.1　挖掘經(jīng)驗(yàn)122
6.2.2　漏洞防范130
6.3　會(huì)話認(rèn)證漏洞131
6.3.1　挖掘經(jīng)驗(yàn)131
6.3.2　漏洞防范135
第7章二次漏洞審計(jì)136
7.1　什么是二次漏洞136
7.2　二次漏洞審計(jì)技巧137
7.3　dedecms二次注入漏洞分析137
第8章代碼審計(jì)小技巧142
8.1　鉆GPC等轉(zhuǎn)義的空子142
8.1.1　不受GPC保護(hù)的$_SERVER變量142
8.1.2　編碼轉(zhuǎn)換問題143
8.2　神奇的字符串146
8.2.1　字符處理函數(shù)報(bào)錯(cuò)信息泄露146
8.2.2　字符串截?cái)?48
8.3　php:// 輸入輸出流150
8.4　PHP代碼解析標(biāo)簽153
8.5　fuzz漏洞發(fā)現(xiàn)154
8.6　不嚴(yán)謹(jǐn)?shù)恼齽t表達(dá)式156
8.7　十余種MySQL報(bào)錯(cuò)注入157
8.8　Windows FindFirstFile利用161
8.9　PHP可變變量162
第三部分　PHP安全編程規(guī)范
第9章參數(shù)的安全過濾166
9.1　第三方過濾函數(shù)與類166
9.1.1　discuz SQL安全過濾類分析167
9.1.2　discuz xss標(biāo)簽過濾函數(shù)分析173
9.2　內(nèi)置過濾函數(shù)175
第10章　使用安全的加密算法177
10.1　對(duì)稱加密177
10.1.1　3DES加密178
10.1.2　AES加密180
10.2　非對(duì)稱加密183
10.3　單向加密185
第11章　業(yè)務(wù)功能安全設(shè)計(jì)187
11.1　驗(yàn)證碼187
11.1.1　驗(yàn)證碼繞過187
11.1.2　驗(yàn)證碼資源濫用191
11.2　用戶登錄192
11.2.1　撞庫漏洞192
11.2.2　API登錄193
11.3　用戶注冊(cè)194
11.4　密碼找回195
11.5　資料查看與修改197
11.6　投票/積分/抽獎(jiǎng)198
11.7　充值支付200
11.8　私信及反饋200
11.9　遠(yuǎn)程地址訪問202
11.10　文件管理204
11.11　數(shù)據(jù)庫管理205
11.12　命令/代碼執(zhí)行206
11.13　文件/數(shù)據(jù)庫備份207
11.14　API208
第12章應(yīng)用安全體系建設(shè)211
12.1　用戶密碼安全策略211
12.2　前后臺(tái)用戶分表213
12.3　后臺(tái)地址隱藏215
12.4　密碼加密存儲(chǔ)方式216
12.5　登錄限制218
12.6　API站庫分離218
12.7　慎用第三方服務(wù)219
12.8　嚴(yán)格的權(quán)限控制220
12.9　敏感操作多因素驗(yàn)證221
12.10　應(yīng)用自身的安全中心223
參考資源227