代碼安全

第1章軟件安全開發(fā)基礎(chǔ)1
1.1軟件安全開發(fā)現(xiàn)狀1
1.1.1軟件安全面臨的挑戰(zhàn)1
1.1.2軟件安全開發(fā)問題2
1.1.3軟件安全問題成因5
1.2軟件開發(fā)生命周期7
1.3軟件安全開發(fā)模型11
1.3.1安全開發(fā)生命周期11
1.3.2內(nèi)建安全成熟度模型14
1.3.3軟件保證成熟度模型15
1.3.4綜合的輕量應(yīng)用安全過程16
1.4人員角色規(guī)劃17

第2章軟件安全需求與設(shè)計18
2.1安全需求概述18
2.1.1安全需求的定義18
2.1.2安全需求的標(biāo)準(zhǔn)19
2.2安全需求分析方法20
2.2.1安全需求分析過程20
2.2.2安全需求分析的常用方法20
2.3系統(tǒng)設(shè)計概述23
2.3.1系統(tǒng)設(shè)計內(nèi)容23
2.3.2安全設(shè)計原則24
2.4安全設(shè)計方法26
2.4.1危險性分析27
2.4.2基于模式的軟件安全設(shè)計27
2.4.3安全關(guān)鍵單元的確定和設(shè)計29
2.5威脅建模29
2.5.1威脅建模概述29
2.5.2威脅建模過程302.5.3威脅建模的輸出與緩解35
代碼安全目錄
第3章C和C++安全編碼37
3.1C和C++開發(fā)安全現(xiàn)狀37
3.2C和C++常見安全漏洞38
3.2.1緩沖區(qū)溢出漏洞38
3.2.2釋放后使用漏洞39
3.2.3整型溢出漏洞40
3.2.4空指針解引用漏洞40
3.2.5格式化字符串漏洞41
3.2.6內(nèi)存泄漏42
3.2.7二次釋放漏洞42
3.2.8類型混淆漏洞43
3.2.9未初始化漏洞43
3.3C和C++安全編碼規(guī)范44

第4章Java安全編碼46
4.1Java開發(fā)安全現(xiàn)狀46
4.2Java常見安全漏洞48
4.2.1SQL注入漏洞48
4.2.2XSS漏洞51
4.2.3重定向漏洞55
4.2.4路徑遍歷漏洞57
4.2.5不安全的安全哈希算法60
4.2.6XPath注入漏洞61
4.2.7硬編碼密碼63
4.3Java安全編碼規(guī)范64
4.3.1聲明和初始化64
4.3.2表達(dá)式69
4.3.3面向?qū)ο?3
4.3.4方法75
4.3.5異常處理77
4.3.6線程鎖81
4.3.7線程API83
4.3.8輸入輸出87

第5章PHP安全編碼92
5.1PHP開發(fā)安全現(xiàn)狀92
5.2PHP常見安全漏洞94
5.2.1會話攻擊94
5.2.2命令注入攻擊95
5.2.3客戶端腳本注入攻擊96
5.2.4變量覆蓋漏洞98
5.2.5危險函數(shù)99
5.3PHP安全編碼規(guī)范101
5.3.1語言規(guī)范102
5.3.2程序注釋103
5.3.3項目規(guī)范104
5.3.4特殊規(guī)范105
5.3.5配置安全106

第6章Python安全編碼108
6.1Python開發(fā)安全現(xiàn)狀108
6.2Python常見安全威脅的防御111
6.2.1代碼注入的防御111
6.2.2密碼存儲方式112
6.2.3異常處理機制113
6.2.4文件上傳漏洞的防御115
6.3Python安全編碼規(guī)范116
6.3.1代碼布局116
6.3.2注釋語句117
6.3.3命名規(guī)范118
6.3.4函數(shù)安全120
6.3.5編程建議121

第7章軟件安全測試123
7.1安全測試概述123
7.2安全測試流程125
7.2.1安全測試具體流程125
7.2.2安全測試具體內(nèi)容127
7.2.3安全測試原則129
7.2.4PDCA循環(huán)129
7.3安全測試技術(shù)131
7.3.1人工審查131
7.3.2代碼分析131
7.3.3模糊測試134
7.3.4滲透測試138

第8章軟件安全發(fā)布與部署141
8.1軟件安全發(fā)布141
8.1.1最終安全審查141
8.1.2安全事故響應(yīng)計劃143
8.2軟件安全部署143
8.2.1漏洞管理143
8.2.2環(huán)境強化143
8.2.3操作激活143

第9章典型案例144
9.1應(yīng)用背景144
9.2企業(yè)需求144
9.3解決方案145
9.4方案優(yōu)勢147

附錄A英文縮略語148

參考文獻(xiàn)149