代碼審計：企業(yè)級Web代碼安全架構(gòu)

定　價：￥59.00

作　者：	尹毅
出版社：	機械工業(yè)出版社
叢編項：
標　簽：	計算機/網(wǎng)絡(luò) 企業(yè)軟件開發(fā)與實施

購買這本書可以去

ISBN：	9787111520061	出版時間：	2015-12-01	包裝：	平裝
開本：	16開	頁數(shù)：	229	字數(shù)：

內(nèi)容簡介

　　本書詳細介紹代碼審計的設(shè)計思路以及所需要的工具和方法，不僅用大量案例介紹了實用方法，而且剖析了各種代碼安全問題的成因與預(yù)防策略。對開發(fā)人員和安全技術(shù)人員都有參考價值。本書共分為三個部分，第一部分為代碼審計前的準備，詳細介紹代碼審計前需要了解的PHP核心配置文件、PHP環(huán)境搭建的方法、代碼審計需要的工具，以及這些工具的詳細使用方法。第二部分著重介紹PHP代碼審計的中漏洞挖掘思路與防范方法，包括代碼審計的思路、常見漏洞的審計方法、二次漏洞的挖掘方法、代碼審計過程中的一些常用技巧。第三部分主要介紹PHP安全編程規(guī)范，從攻擊者的角度來告訴你應(yīng)該怎么寫出更安全的代碼，包括參數(shù)的安全過濾、PHP中常用的加密算法、常見功能通常會出現(xiàn)的安全問題、企業(yè)的應(yīng)用安全體系建設(shè)等。

作者簡介

暫缺《代碼審計：企業(yè)級Web代碼安全架構(gòu)》作者簡介

圖書目錄

Contents 目　　錄
序言
前言
導(dǎo)讀
第一部分　代碼審計前的準備
第1章代碼審計環(huán)境搭建2
1.1　wamp/wnmp環(huán)境搭建2
1.2　lamp/lnmp環(huán)境搭建4
1.3　PHP核心配置詳解6
第2章審計輔助與漏洞驗證工具14
2.1　代碼編輯器14
2.1.1　Notepad++15
2.1.2　UltraEdit15
2.1.3　Zend Studio19
2.2　代碼審計工具21
2.2.1　Seay源代碼審計系統(tǒng)21
2.2.2　Fortify SCA24
2.2.3　RIPS25
2.3　漏洞驗證輔助27
2.3.1　Burp Suite27
2.3.2　瀏覽器擴展32
2.3.3　編碼轉(zhuǎn)換及加解密工具36
2.3.4　正則調(diào)試工具38
2.3.5　SQL執(zhí)行監(jiān)控工具40
第二部分　漏洞發(fā)現(xiàn)與防范
第3章通用代碼審計思路46
3.1　敏感函數(shù)回溯參數(shù)過程46
3.2　通讀全文代碼50
3.3　根據(jù)功能點定向?qū)徲?4
第4章漏洞挖掘與防范（基礎(chǔ)篇）68
4.1　SQL注入漏洞68
4.1.1　挖掘經(jīng)驗69
4.1.2　漏洞防范74
4.2　XSS漏洞77
4.2.1　挖掘經(jīng)驗77
4.2.2　漏洞防范82
4.3　CSRF漏洞83
4.3.1　挖掘經(jīng)驗83
4.3.2　漏洞防范85
第5章漏洞挖掘與防范（進階篇）88
5.1　文件操作漏洞88
5.1.1　文件包含漏洞88
5.1.2　文件讀?。ㄏ螺d）漏洞93
5.1.3　文件上傳漏洞95
5.1.4　文件刪除漏洞99
5.1.5　文件操作漏洞防范100
5.2　代碼執(zhí)行漏洞102
5.2.1　挖掘經(jīng)驗102
5.2.2　漏洞防范108
5.3　命令執(zhí)行漏洞108
5.3.1　挖掘經(jīng)驗109
5.3.2　漏洞防范112
第6章漏洞挖掘與防范（深入篇）114
6.1　變量覆蓋漏洞114
6.1.1　挖掘經(jīng)驗115
6.1.2　漏洞防范121
6.2　邏輯處理漏洞122
6.2.1　挖掘經(jīng)驗122
6.2.2　漏洞防范130
6.3　會話認證漏洞131
6.3.1　挖掘經(jīng)驗131
6.3.2　漏洞防范135
第7章二次漏洞審計136
7.1　什么是二次漏洞136
7.2　二次漏洞審計技巧137
7.3　dedecms二次注入漏洞分析137
第8章代碼審計小技巧142
8.1　鉆GPC等轉(zhuǎn)義的空子142
8.1.1　不受GPC保護的$_SERVER變量142
8.1.2　編碼轉(zhuǎn)換問題143
8.2　神奇的字符串146
8.2.1　字符處理函數(shù)報錯信息泄露146
8.2.2　字符串截斷148
8.3　php:// 輸入輸出流150
8.4　PHP代碼解析標簽153
8.5　fuzz漏洞發(fā)現(xiàn)154
8.6　不嚴謹?shù)恼齽t表達式156
8.7　十余種MySQL報錯注入157
8.8　Windows FindFirstFile利用161
8.9　PHP可變變量162
第三部分　PHP安全編程規(guī)范
第9章參數(shù)的安全過濾166
9.1　第三方過濾函數(shù)與類166
9.1.1　discuz SQL安全過濾類分析167
9.1.2　discuz xss標簽過濾函數(shù)分析173
9.2　內(nèi)置過濾函數(shù)175
第10章　使用安全的加密算法177
10.1　對稱加密177
10.1.1　3DES加密178
10.1.2　AES加密180
10.2　非對稱加密183
10.3　單向加密185
第11章　業(yè)務(wù)功能安全設(shè)計187
11.1　驗證碼187
11.1.1　驗證碼繞過187
11.1.2　驗證碼資源濫用191
11.2　用戶登錄192
11.2.1　撞庫漏洞192
11.2.2　API登錄193
11.3　用戶注冊194
11.4　密碼找回195
11.5　資料查看與修改197
11.6　投票/積分/抽獎198
11.7　充值支付200
11.8　私信及反饋200
11.9　遠程地址訪問202
11.10　文件管理204
11.11　數(shù)據(jù)庫管理205
11.12　命令/代碼執(zhí)行206
11.13　文件/數(shù)據(jù)庫備份207
11.14　API208
第12章應(yīng)用安全體系建設(shè)211
12.1　用戶密碼安全策略211
12.2　前后臺用戶分表213
12.3　后臺地址隱藏215
12.4　密碼加密存儲方式216
12.5　登錄限制218
12.6　API站庫分離218
12.7　慎用第三方服務(wù)219
12.8　嚴格的權(quán)限控制220
12.9　敏感操作多因素驗證221
12.10　應(yīng)用自身的安全中心223
參考資源227