《应用软件安全代码审查指南》 - OWASP基金会 - Meg Book Store - 香港.大書城

	登入帳戶　 \|　訂單查詢　 \|　購物車/收銀台( 0 )　\|　在線留言板　 \|　付款方式　 \|　運費計算　 \|　聯絡我們　 \|　幫助中心　\|　加入書簽
		會員登入新用戶登記

HOME

新書上架

暢銷書架

好書推介

會員書架精選

2023年度TOP

臺灣用戶

品種：超過100萬種各類書籍/音像和精品，正品正價，放心網購，悭钱省心

服務：香港／台灣／澳門／海外

送貨：速遞／郵局／服務站

新書上架：簡體書繁體書
暢銷書架：簡體書繁體書
好書推介：簡體書繁體書

三月出版：大陸書台灣書
二月出版：大陸書台灣書
一月出版：大陸書台灣書
12月出版：大陸書台灣書
11月出版：大陸書台灣書
十月出版：大陸書台灣書
九月出版：大陸書台灣書
八月出版：大陸書台灣書
七月出版：大陸書台灣書
六月出版：大陸書台灣書
五月出版：大陸書台灣書
四月出版：大陸書台灣書
三月出版：大陸書台灣書
二月出版：大陸書台灣書
一月出版：大陸書台灣書

『簡體書』应用软件安全代码审查指南

書城自編碼： 3614374
分類：簡體書→大陸圖書→計算機/網絡→信息安全
作者： OWASP基金会
國際書號(ISBN)： 9787121352201
出版社：电子工业出版社
出版日期： 2021-04-01

頁數/字數： /
釘裝：平塑勒

售價：HK$ 82.5

我要買件

** 我創建的書架 **
未登入.

新書推薦：

天象之维：汉画像中的天文与人文

《天象之维：汉画像中的天文与人文》
售價：HK$ 105.0

妓女与文人

《妓女与文人》
售價：HK$ 38.4

舵手证券图书短线交易大师：工具和策略 24年新修订版实战验证的交易技术经典外版书

《舵手证券图书短线交易大师：工具和策略 24年新修订版实战验证的交易技术经典外版书》
售價：HK$ 93.6

中国古兵器集成

《中国古兵器集成》
售價：HK$ 816.0

空腹力+轻断食：正在横扫全球的瘦身革命（全2册）

《空腹力+轻断食：正在横扫全球的瘦身革命（全2册）》
售價：HK$ 123.6

临床牙周病学和口腔种植学第7版

《临床牙周病学和口腔种植学第7版》
售價：HK$ 1557.6

粤港澳大湾区文化产业圈论纲

《粤港澳大湾区文化产业圈论纲》
售價：HK$ 153.6

粤港澳大湾区蓝皮书：粤港澳大湾区建设报告（2023）

《粤港澳大湾区蓝皮书：粤港澳大湾区建设报告（2023）》
售價：HK$ 225.6

內容簡介：

本书分为两大部分，共15章。*部分包含第1～4章，介绍了安全代码审查的作用和方法，以及在软件安全开发生命周期（S-SDLC）代码审查过程中查找安全漏洞的方法。第二部分包含第5～15章，介绍2013年版《OWASP Top 10》中提出的安全风险的处理方法和技术，以及其他漏洞处理的方法和技术。本书适合软件研发组织机构的高层管理人员、专业技术负责人、开发人员、测试人员和软件安全人员，以及高等院校软件工程、网络安全专业的师生等阅读学习。

關於作者：

OWASP基金会是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究，在业界具有一流的影响力和权威性。作为OWASP面向中国的区域分支，OWASP中国自2006年正式启动，目前已拥有来自互联网安全专业领域和政府、电信、金融、教育等相关领域的会员5000多名，形成了强大的专业技术实力和行业资源聚集能力，有力推动了安全标准、安全测试工具、安全指导手册等应用安全技术在中国的发展，成为了积极推动中国互联网安全技术创新、人才培养和行业发展的中坚力量。作为OWASP中国的运营中心，互联网安全研究中心（Security Zone，简称SecZone）是国内首个独立、开源的互联网安全研究机构。中心始终秉持引入、吸收、创新的发展宗旨，专注于互联网安全前沿技术和OWASP项目的深度研究，常年组织开展各类开源培训及沙龙活动，致力于通过对国内外技术、资源的整合、应用和创新，更好地服务业界同仁、服务行业发展，更有力地推动国内互联网安全技术的进步与升级。

目錄：

第1章如何使用《应用软件安全代码审查指南》1

第2章安全代码审查4

2.1为什么代码有漏洞5

2.2代码审查和安全代码审查之间的区别是什么6

2.3什么是安全代码审查6

2.4确定安全代码审查的范围7

2.5我们不能破解自己的安全性9

2.6安全代码审查和渗透测试耦合11

2.7安全代码审查对开发实践的好处13

2.8安全代码审查的技术15

2.9安全代码审查与合规性15

第3章安全代码审查的方法论18

3.1制定安全代码审查流程时需要考虑的因素19

3.1.1风险19

3.1.2目的与背景19

3.1.3代码行数19

3.1.4编程语言20

3.1.5资源、时间和期限20

3.2在S-SDLC中集成安全代码审查20

3.3何时进行安全代码审查21

3.4敏捷和瀑布开发中的安全代码审查23

3.5基于风险的安全代码审查方法23

3.6安全代码审查准备26

3.7安全代码审查发现和信息收集28

3.8静态代码分析30

3.9应用威胁建模34

3.10度量指标和安全代码审查42

3.11代码爬行45

第4章安全代码审查注意事项47

第5章A1注入攻击49

5.1概述50

5.2概览50

5.3SQL盲注51

5.3.1SQL查询参数化51

5.3.2安全的字符串拼接52

5.3.3运用灵活的参数化语句53

5.3.4PHP SQL注入54

5.3.5Java SQL注入55

5.3.6.NET SQL注入55

5.3.7参数集合56

5.4要点回顾57

5.5OWASP参考资料57

5.6其他参考资料58

第6章A2失效的身份认证和会话管理59

6.1失效的身份认证60

6.1.1概述60

6.1.2概览60

6.1.3如何审查60

6.1.4参考资料62

6.1.5被遗忘的密码62

6.1.6验证码64

6.1.7带外通信66

6.2A2会话管理68

6.2.1概述68

6.2.2概览68

6.2.3审查的内容69

6.2.4会话超时70

6.2.5会话注销和结束71

6.2.6会话管理的服务器端防御72

第7章A3跨站脚本攻击（XSS）74

7.1什么是跨站脚本攻击（XSS）75

7.2概览75

7.3如何审查75

7.3.1安全代码审查需要详尽75

7.3.2工具介绍76

7.4OWASP参考资料77

7.5其他参考资料77

第8章A4不安全的直接对象引用79

8.1概述80

8.2概览80

8.3如何审查80

8.3.1SQL注入80

8.3.2HTTP POST请求81

8.3.3间接引用映射81

8.3.4数据绑定技术82

8.3.5安全设计建议82

8.3.6审查准则82

8.4安全代码审查人员应该做什么82

8.5MVC.NET中的绑定问题83

8.5.1相应的视图（HTML）83

8.5.2建议84

8.6参考资料84

第9章A5安全配置错误85

9.1Apache Struts86

9.2Java企业版声明配置87

9.3JEE注释91

9.4框架特定配置：Apache Tomcat92

9.5框架特定配置：Jetty93

9.6框架特定配置：JBoss AS94

9.7框架特定配置：Oracle WebLogic94

9.8程序配置：JEE95

9.9Microsoft IIS97

9.10框架特定配置：Microsoft II99

9.11程序配置：Microsoft IIS102

9.12进一步的IIS配置103

9.12.1过滤请求和URL重写103

9.12.2参考资料111

9.13强名称111

9.13.1如何使用强名称112

9.13.2参考资料115

9.14Round Tripping115

9.14.1混淆的重要性116

9.14.2使用混淆116

9.14.3ASPNetCon?gs116

9.14.4参考资料118

9.15.NET验证控件118

第10章A6敏感数据暴露124

10.1加密控制125

10.1.1概述125

10.1.2审查内容：传输保护127

10.1.3审查内容：存储保护129

10.1.4加密、哈希和盐值135

10.1.5参考资料138

10.2减少攻击面139

10.2.1概述139

10.2.2审查内容140

10.2.3参考资料141

第11章A7功能级权限控制缺失142

11.1授权143

11.2概述144

11.3注意事项146

11.4访问控制备忘单148

11.4.1硬编码方法148

11.4.2防御访问控制攻击148

第12章A8跨站请求伪造（CSRF）150

12.1概述151

12.2CSRF的工作原理152

12.3注意事项153

12.3.1无效的防御措施153

12.3.2高风险功能154

12.3.3防御CSRF攻击154

第13章A9使用含有已知漏洞的组件159

13.1概述160

13.2注意事项160

第14章A10未经验证的重定向和转发162

14.1概述163

14.2注意事项164

14.3参考资料166

第15章其他技术167

15.1HTML5168

15.1.1概述168

15.1.2注意事项：Web信息传递168

15.1.3注意事项：跨源资源共享169

15.1.4注意事项：WebSockets170

15.1.5注意事项：服务器推送事件172

15.2同源策略172

15.2.1概述172

15.2.2注意事项173

15.3审计日志代码174

15.3.1概述174

15.3.2注意事项175

15.3.3参考资料176

15.4错误处理177

15.4.1概述177

15.4.2注意事项178

15.4.3注意事项：安全的失败180

15.4.4注意事项：潜在漏洞代码180

15.4.5注意事项：IIS错误处理183

15.4.6注意事项：在Apache中处理错误185

15.4.7注意事项：领先的实践错误处理186

15.4.8注意事项：捕获异常的顺序187

15.4.9注意事项：释放资源和良好的资源管理188

15.4.10参考资料190

15.5查看安全警报190

15.5.1概述190

15.5.2注意事项192

15.6检查主动防御193

15.6.1概述193

15.6.2注意事项194

15.6.3参考资料196

15.7竞争条件196

15.7.1概述196

15.7.2注意事项197

15.7.3参考资料198

15.8缓冲区溢出198

15.8.1概述198

15.8.2注意事项：缓冲区溢出200

15.8.3注意事项：格式函数溢出201

15.8.4注意事项：整数溢出202

15.8.5参考资料204

附录A软件安全开发生命周期图表205

附录B安全代码审查清单210

附录C威胁建模示例214

C.1威胁建模示例步骤1：分解应用214

C.2威胁建模示例步骤2：威胁分类219

C.3威胁建模示例步骤3：确定对策221

附录D代码爬虫224

D.1在.NET中搜索代码224

D.2在Java中搜索代码230

D.3在经典ASP中搜索代码234

D.4在JavaScript和Ajax中搜索代码236

D.5在C++和Apache中搜索代码236

附录E参考资料239

書城介紹　 |　合作申請　|　索要書目　 |　新手入門　|　聯絡方式　 |　幫助中心　|　找書說明　 |　送貨方式　|　付款方式 香港用户　 |　台灣用户　|　大陸用户　|　海外用户

megBook.com.hk

Copyright © 2013 - 2024 （香港）大書城有限公司　 All Rights Reserved.