幫助中心 | 我的帳號 | 關於我們

代碼審計(企業級Web代碼安全架構)/信息安全技術叢書

  • 作者:編者:尹毅
  • 出版社:機械工業
  • ISBN:9787111520061
  • 出版日期:2016/01/01
  • 裝幀:平裝
  • 頁數:229
人民幣:RMB 59 元      售價:
放入購物車
加入收藏夾

內容大鋼
    代碼審計是企業安全運營的重要步驟,也是安全從業者必備的基礎技能。本書詳細介紹代碼審計的設計思路以及所需要的工具和方法,不僅用大量案例介紹了實用方法。而且剖析了各種代碼安全問題的成因與預防方案。無論是應用開發人員還是安全技術人員都能從本書獲益。
    尹毅編著的《代碼審計》共分為三個部分。第一部分為代碼審計前的準備,包括第1?2章,第l章詳細介紹代碼審計前需要了解的PHP核心配置文件以及PHP環境搭建的方法;第2章介紹學習PHP代碼審計需要準備的工具,以及這些工具的詳細使用方法。第二部分著重介紹PHP代碼審計中的漏洞挖掘思路與防範方法,包括第3?8章,第3章詳細介紹PHP代碼審計的思路,包括根據關鍵字回溯參數、通讀全文代碼以及根據功能點定向挖掘漏洞的三個思路;第4?6章則介紹常見漏洞的審計方法,分別對應基礎篇、進階篇以及深入篇,涵蓋SQL注入漏洞、XSS漏洞、文件操作漏洞、代碼/命令執行漏洞、變數覆蓋漏洞以及邏輯處理等漏洞;第7章介紹二次漏洞的挖掘方法;第8章介紹代碼審計過程中的一些重要技巧。第三部分主要介紹PHP安全編程規範,從攻擊者的角度來告訴你應該怎麼寫出更安全的代碼,包括第9?12章,第9章介紹參數的安全過濾;第lO章介紹PHP中常用的加密演算法;第11章從設計安全功能的角度出發,從攻擊者的角度詳細分析常見功能通常會出現的安全問題以及解決方案;第12章介紹企業的應用安全體系建設,介紹橫向細化策略和縱深防禦策略的具體實施方法與典型案例。

作者介紹
編者:尹毅
    尹毅,網名Seay,阿里巴巴安全專家,Seay源代碼審計系統作者,也是知名網路安全客www.cnseay.com的博主,至今個人博客訪問量超百萬。他15歲便開始接觸網路安全.致力於Web安全研究,開發了大量的安全工具,樂於分享,在代碼審計和滲透測試方面有豐富的經驗。他的微信號是:seayace。

目錄
序言
前言
導讀
第一部分  代碼審計前的準備
第1章  代碼審計環境搭建
  1.1  wamp/wnmp環境搭建
  1.2  lamp/lnmp環境搭建
  1.3  PHP核心配置詳解
第2章  審計輔助與漏洞驗證工具
  2.1  代碼編輯器
    2.1.1  Notepad++
    2.1.2  UltraEdit
    2.1.3  Zend Studio
  2.2  代碼審計工具
    2.2.1  Seay源代碼審計系統
    2.2.2  Fortify SCA
    2.2.3  RIPS
  2.3  漏洞驗證輔助
    2.3.1  Burp Suite
    2.3.2  瀏覽器擴展
    2.3.3  編碼轉換及加解密工具
    2.3.4  正則調試工具
    2.3.5  SQL執行監控工具
第二部分  漏洞發現與防範
第3章  通用代碼審計思路
  3.1  敏感函數回溯參數過程
  3.2  通讀全文代碼
  3.3  根據功能點定向審計
第4章  漏洞挖掘與防範(基礎篇)
  4.1  SQL注入漏洞
    4.1.1  挖掘經驗
    4.1.2  漏洞防範
  4.2  XSS漏洞
    4.2.1  挖掘經驗
    4.2.2  漏洞防範
  4.3  CSRF漏洞
    4.3.1  挖掘經驗
    4.3.2  漏洞防範
第5章  漏洞挖掘與防範(進階篇)
  5.1  文件操作漏洞
    5.1.1  文件包含漏洞
    5.1.2  文件讀取(下載)漏洞
    5.1.3  文件上傳漏洞
    5.1.4  文件刪除漏洞
    5.1.5  文件操作漏洞防範
  5.2  代碼執行漏洞
    5.2.1  挖掘經驗
    5.2.2  漏洞防範
  5.3  命令執行漏洞
    5.3.1  挖掘經驗

    5.3.2  漏洞防範
第6章  漏洞挖掘與防範(深入篇)
  6.1  變數覆蓋漏洞
    6.1.1  挖掘經驗
    6.1.2  漏洞防範
  6.2  邏輯處理漏洞
    6.2.1  挖掘經驗
    6.2.2  漏洞防範
  6.3  會話認證漏洞
    6.3.1  挖掘經驗
    6.3.2  漏洞防範
第7章  二次漏洞審計
  7.1  什麼是二次漏洞
  7.2  二次漏洞審計技巧
  7.3  dedecms二次注入漏洞分析
第8章  代碼審計小技巧
  8.1  鑽GPC等轉義的空子
    8.1.1  不受GPC保護的$_SERVER變數
    8.1.2  編碼轉換問題
  8.2  神奇的字元串
    8.2.1  字元處理函數報錯信息泄露
    8.2.2  字元串截斷
  8.3  php:// 輸入輸出流
  8.4  PHP代碼解析標籤
  8.5  fuzz漏洞發現
  8.6  不嚴謹的正則表達式
  8.7  十余種MySQL報錯注入
  8.8  Windows FindFirstFile利用
  8.9  PHP可變變數
第三部分  PHP安全編程規範
第9章  參數的安全過濾
  9.1第三方過濾函數與類
    9.1.1  discuz SQL安全過濾類分析
    9.1.2  discuz xss標籤過濾函數分析
  9.2  內置過濾函數
第10章    使用安全的加密演算法
    10.1  對稱加密
    10.1.1  3DES加密
    10.1.2  AES加密
    10.2  非對稱加密
    10.3  單向加密
第11章    業務功能安全設計
  11.1  驗證碼
    11.1.1  驗證碼繞過
    11.1.2  驗證碼資源濫用
  11.2  用戶登錄
    11.2.1  撞庫漏洞
    11.2.2  API登錄
  11.3  用戶註冊
  11.4  密碼找回

  11.5  資料查看與修改
  11.6  投票/積分/抽獎
  11.7  充值支付
  11.8  私信及反饋
  11.9  遠程地址訪問
  11.10  文件管理
  11.11  資料庫管理
  11.12  命令/代碼執行
  11.13  文件/資料庫備份
  11.14  API
第12章  應用安全體系建設
  12.1  用戶密碼安全策略
  12.2  前後台用戶分表
  12.3  後台地址隱藏
  12.4  密碼加密存儲方式
  12.5  登錄限制
  12.6  API站庫分離
  12.7  慎用第三方服務
  12.8  嚴格的許可權控制
  12.9  敏感操作多因素驗證
  12.10  應用自身的安全中心
參考資源

  • 商品搜索:
  • | 高級搜索
首頁新手上路客服中心關於我們聯絡我們Top↑
Copyrightc 1999~2008 美商天龍國際圖書股份有限公司 臺灣分公司. All rights reserved.
營業地址:臺北市中正區重慶南路一段103號1F 105號1F-2F
讀者服務部電話:02-2381-2033 02-2381-1863 時間:週一-週五 10:00-17:00
 服務信箱:bookuu@69book.com 客戶、意見信箱:cs@69book.com
ICP證:浙B2-20060032