注冊(cè) | 登錄讀書好,好讀書,讀好書!
讀書網(wǎng)-DuShu.com
當(dāng)前位置: 首頁出版圖書科學(xué)技術(shù)計(jì)算機(jī)/網(wǎng)絡(luò)軟件工程及軟件方法學(xué)應(yīng)用軟件安全代碼審查指南

應(yīng)用軟件安全代碼審查指南

應(yīng)用軟件安全代碼審查指南

定 價(jià):¥59.00

作 者: OWASP基金會(huì)
出版社: 電子工業(yè)出版社
叢編項(xiàng):
標(biāo) 簽: 暫缺
ISBN: 9787121352201 出版時(shí)間: 2018-10-01 包裝: 平裝
開本: 16開 頁數(shù): 264 字?jǐn)?shù):  

內(nèi)容簡(jiǎn)介

  本書分為兩大部分,共15章。第一部分包含第1~4章,介紹了安全代碼審查的作用和方法,以及在軟件安全開發(fā)生命周期(S-SDLC)代碼審查過程中查找安全漏洞的方法。第二部分包含第5~15章,介紹2013年版《OWASP Top 10》中提出的安全風(fēng)險(xiǎn)的處理方法和技術(shù),以及其他漏洞處理的方法和技術(shù)。本書適合軟件研發(fā)組織機(jī)構(gòu)的高層管理人員、專業(yè)技術(shù)負(fù)責(zé)人、開發(fā)人員、測(cè)試人員和軟件安全人員,以及高等院校軟件工程、網(wǎng)絡(luò)安全專業(yè)的師生等閱讀學(xué)習(xí)。

作者簡(jiǎn)介

  OWASP基金會(huì)是一個(gè)開源的、非盈利的全球性安全組織,致力于應(yīng)用軟件的安全研究,在業(yè)界具有一流的影響力和**性。作為OWASP面向中國(guó)的區(qū)域分支,OWASP中國(guó)自2006年正式啟動(dòng),目前已擁有來自互聯(lián)網(wǎng)安全專業(yè)領(lǐng)域和政府、電信、金融、教育等相關(guān)領(lǐng)域的會(huì)員5000多名,形成了強(qiáng)大的專業(yè)技術(shù)實(shí)力和行業(yè)資源聚集能力,有力推動(dòng)了安全標(biāo)準(zhǔn)、安全測(cè)試工具、安全指導(dǎo)手冊(cè)等應(yīng)用安全技術(shù)在中國(guó)的發(fā)展,成為了積極推動(dòng)中國(guó)互聯(lián)網(wǎng)安全技術(shù)創(chuàng)新、人才培養(yǎng)和行業(yè)發(fā)展的中堅(jiān)力量。作為OWASP中國(guó)的運(yùn)營(yíng)中心,互聯(lián)網(wǎng)安全研究中心(Security Zone,簡(jiǎn)稱SecZone)是國(guó)內(nèi)**獨(dú)立、開源的互聯(lián)網(wǎng)安全研究機(jī)構(gòu)。中心始終秉持引入、吸收、創(chuàng)新的發(fā)展宗旨,專注于互聯(lián)網(wǎng)安全前沿技術(shù)和OWASP項(xiàng)目的深度研究,常年組織開展各類開源培訓(xùn)及沙龍活動(dòng),致力于通過對(duì)國(guó)內(nèi)外技術(shù)、資源的整合、應(yīng)用和創(chuàng)新,更好地服務(wù)業(yè)界同仁、服務(wù)行業(yè)發(fā)展,更有力地推動(dòng)國(guó)內(nèi)互聯(lián)網(wǎng)安全技術(shù)的進(jìn)步與升級(jí)。

圖書目錄

第1章  如何使用《應(yīng)用軟件安全代碼審查指南》 1

第2章  安全代碼審查 4

2.1  為什么代碼有漏洞 5

2.2  代碼審查和安全代碼審查之間的區(qū)別是什么 6

2.3  什么是安全代碼審查 6

2.4  確定安全代碼審查的范圍 7

2.5  我們不能破解自己的安全性 9

2.6  安全代碼審查和滲透測(cè)試耦合 11

2.7  安全代碼審查對(duì)開發(fā)實(shí)踐的好處 13

2.8  安全代碼審查的技術(shù) 15

2.9  安全代碼審查與合規(guī)性 15

第3章  安全代碼審查的方法論 18

3.1  制定安全代碼審查流程時(shí)需要考慮的因素 19

3.1.1  風(fēng)險(xiǎn) 19

3.1.2  目的與背景 19

3.1.3  代碼行數(shù) 19

3.1.4  編程語言 20

3.1.5  資源、時(shí)間和期限 20

3.2  在S-SDLC中集成安全代碼審查 20

3.3  何時(shí)進(jìn)行安全代碼審查 21

3.4  敏捷和瀑布開發(fā)中的安全代碼審查 23

3.5  基于風(fēng)險(xiǎn)的安全代碼審查方法 23

3.6  安全代碼審查準(zhǔn)備 26

3.7  安全代碼審查發(fā)現(xiàn)和信息收集 28

3.8  靜態(tài)代碼分析 30

3.9  應(yīng)用威脅建模 34

3.10  度量指標(biāo)和安全代碼審查 42

3.11  代碼爬行 45

第4章  安全代碼審查注意事項(xiàng) 47

第5章  A1注入攻擊 49

5.1  概述 50

5.2  概覽 50

5.3  SQL盲注 51

5.3.1  SQL查詢參數(shù)化 51

5.3.2  安全的字符串拼接 52

5.3.3  運(yùn)用靈活的參數(shù)化語句 53

5.3.4  PHP SQL注入 54

5.3.5  Java SQL注入 55

5.3.6  .NET SQL注入 55

5.3.7  參數(shù)集合 56

5.4  要點(diǎn)回顧 57

5.5  OWASP參考資料 57

5.6  其他參考資料 58

第6章  A2失效的身份認(rèn)證和會(huì)話管理 59

6.1  失效的身份認(rèn)證 60

6.1.1  概述 60

6.1.2  概覽 60

6.1.3  如何審查 60

6.1.4  參考資料 62

6.1.5  被遺忘的密碼 62

6.1.6  驗(yàn)證碼 64

6.1.7  帶外通信 66

6.2  A2會(huì)話管理 68

6.2.1  概述 68

6.2.2  概覽 68

6.2.3  審查的內(nèi)容 69

6.2.4  會(huì)話超時(shí) 70

6.2.5  會(huì)話注銷和結(jié)束 71

6.2.6  會(huì)話管理的服務(wù)器端防御 72

第7章  A3跨站腳本攻擊(XSS) 74

7.1  什么是跨站腳本攻擊(XSS) 75

7.2  概覽 75

7.3  如何審查 75

7.3.1  安全代碼審查需要詳盡 75

7.3.2  工具介紹 76

7.4  OWASP參考資料 77

7.5  其他參考資料 77

第8章  A4不安全的直接對(duì)象引用 79

8.1  概述 80

8.2  概覽 80

8.3  如何審查 80

8.3.1  SQL注入 80

8.3.2  HTTP POST請(qǐng)求 81

8.3.3  間接引用映射 81

8.3.4  數(shù)據(jù)綁定技術(shù) 82

8.3.5  安全設(shè)計(jì)建議 82

8.3.6  審查準(zhǔn)則 82

8.4  安全代碼審查人員應(yīng)該做什么 82

8.5  MVC.NET中的綁定問題 83

8.5.1  相應(yīng)的視圖(HTML) 83

8.5.2  建議 84

8.6  參考資料 84

第9章  A5安全配置錯(cuò)誤 85

9.1  Apache Struts 86

9.2  Java企業(yè)版聲明配置 87

9.3  JEE注釋 91

9.4  框架特定配置:Apache Tomcat 92

9.5  框架特定配置:Jetty 93

9.6  框架特定配置:JBoss AS 94

9.7  框架特定配置:Oracle WebLogic 94

9.8  程序配置:JEE 95

9.9  Microsoft IIS 97

9.10  框架特定配置:Microsoft II 99

9.11  程序配置:Microsoft IIS 102

9.12  進(jìn)一步的IIS配置 103

9.12.1  過濾請(qǐng)求和URL重寫 103

9.12.2  參考資料 111

9.13  強(qiáng)名稱 111

9.13.1  如何使用強(qiáng)名稱 112

9.13.2  參考資料 115

9.14  Round Tripping 115

9.14.1  混淆的重要性 116

9.14.2  使用混淆 116

9.14.3  ASPNetCon?gs 116

9.14.4  參考資料 118

9.15  .NET驗(yàn)證控件 118

第10章  A6敏感數(shù)據(jù)暴露 124

10.1  加密控制 125

10.1.1  概述 125

10.1.2  審查內(nèi)容:傳輸保護(hù) 127

10.1.3  審查內(nèi)容:存儲(chǔ)保護(hù) 129

10.1.4  加密、哈希和鹽值 135

10.1.5  參考資料 138

10.2  減少攻擊面 139

10.2.1  概述 139

10.2.2  審查內(nèi)容 140

10.2.3  參考資料 141

第11章  A7功能級(jí)權(quán)限控制缺失 142

11.1  授權(quán) 143

11.2  概述 144

11.3  注意事項(xiàng) 146

11.4  訪問控制備忘單 148

11.4.1  硬編碼方法 148

11.4.2  防御訪問控制攻擊 148

第12章  A8跨站請(qǐng)求偽造(CSRF) 150

12.1  概述 151

12.2  CSRF的工作原理 152

12.3  注意事項(xiàng) 153

12.3.1  無效的防御措施 153

12.3.2  高風(fēng)險(xiǎn)功能 154

12.3.3  防御CSRF攻擊 154

第13章  A9使用含有已知漏洞的組件 159

13.1  概述 160

13.2  注意事項(xiàng) 160

第14章  A10未經(jīng)驗(yàn)證的重定向和轉(zhuǎn)發(fā) 162

14.1  概述 163

14.2  注意事項(xiàng) 164

14.3  參考資料 166

第15章  其他技術(shù) 167

15.1  HTML5 168

15.1.1  概述 168

15.1.2  注意事項(xiàng):Web信息傳遞 168

15.1.3  注意事項(xiàng):跨源資源共享 169

15.1.4  注意事項(xiàng):WebSockets 170

15.1.5  注意事項(xiàng):服務(wù)器推送事件 172

15.2  同源策略 172

15.2.1  概述 172

15.2.2  注意事項(xiàng) 173

15.3  審計(jì)日志代碼 174

15.3.1  概述 174

15.3.2  注意事項(xiàng) 175

15.3.3  參考資料 176

15.4  錯(cuò)誤處理 177

15.4.1  概述 177

15.4.2  注意事項(xiàng) 178

15.4.3  注意事項(xiàng):安全的失敗 180

15.4.4  注意事項(xiàng):潛在漏洞代碼 180

15.4.5  注意事項(xiàng):IIS錯(cuò)誤處理 183

15.4.6  注意事項(xiàng):在Apache中處理錯(cuò)誤 185

15.4.7  注意事項(xiàng):領(lǐng)先的實(shí)踐錯(cuò)誤處理 186

15.4.8  注意事項(xiàng):捕獲異常的順序 187

15.4.9  注意事項(xiàng):釋放資源和良好的資源管理 188

15.4.10  參考資料 190

15.5  查看安全警報(bào) 190

15.5.1  概述 190

15.5.2  注意事項(xiàng) 192

15.6  檢查主動(dòng)防御 193

15.6.1  概述 193

15.6.2  注意事項(xiàng) 194

15.6.3  參考資料 196

15.7  競(jìng)爭(zhēng)條件 196

15.7.1  概述 196

15.7.2  注意事項(xiàng) 197

15.7.3  參考資料 198

15.8  緩沖區(qū)溢出 198

15.8.1  概述 198

15.8.2  注意事項(xiàng):緩沖區(qū)溢出 200

15.8.3  注意事項(xiàng):格式函數(shù)溢出 201

15.8.4  注意事項(xiàng):整數(shù)溢出 202

15.8.5  參考資料 204

附錄A  軟件安全開發(fā)生命周期圖表 205

附錄B  安全代碼審查清單 210

附錄C  威脅建模示例 214

C.1  威脅建模示例步驟1:分解應(yīng)用 214

C.2  威脅建模示例步驟2:威脅分類 219

C.3  威脅建模示例步驟3:確定對(duì)策 221

附錄D  代碼爬蟲 224

D.1  在.NET中搜索代碼 224

D.2  在Java中搜索代碼 230

D.3  在經(jīng)典ASP中搜索代碼 234

D.4  在JavaScript和Ajax中搜索代碼 236

D.5  在C++和Apache中搜索代碼 236

附錄E  參考資料 239

本目錄推薦

掃描二維碼
Copyright ? 讀書網(wǎng) m.ranfinancial.com 2005-2020, All Rights Reserved.
鄂ICP備15019699號(hào) 鄂公網(wǎng)安備 42010302001612號(hào)