应用软件安全代码审查指南PDF|Epub|txt|kindle电子书版本下载

应用软件安全代码审查指南PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 如何使用《应用软件安全代码审查指南》1

第2章 安全代码审查4

2.1 为什么代码有漏洞5

2.2 代码审查和安全代码审查之间的区别是什么6

2.3 什么是安全代码审查6

2.4 确定安全代码审查的范围7

2.5 我们不能破解自己的安全性9

2.6 安全代码审查和渗透测试耦合11

2.7 安全代码审查对开发实践的好处13

2.8 安全代码审查的技术15

2.9 安全代码审查与合规性15

第3章 安全代码审查的方法论18

3.1 制定安全代码审查流程时需要考虑的因素19

3.1.1 风险19

3.1.2 目的与背景19

3.1.3 代码行数19

3.1.4 编程语言20

3.1.5 资源、时间和期限20

3.2 在S-SDLC中集成安全代码审查20

3.3 何时进行安全代码审查21

3.4 敏捷和瀑布开发中的安全代码审查23

3.5 基于风险的安全代码审查方法23

3.6 安全代码审查准备26

3.7 安全代码审查发现和信息收集28

3.8 静态代码分析30

3.9 应用威胁建模34

3.10 度量指标和安全代码审查42

3.11 代码爬行45

第4章 安全代码审查注意事项47

第5章 A1注入攻击49

5.1 概述50

5.2 概览50

5.3 SQL盲注51

5.3.1 SQL查询参数化51

5.3.2 安全的字符串拼接52

5.3.3 运用灵活的参数化语句53

5.3.4 PHP SQL注入54

5.3.5 Java SQL注入55

5.3.6.NET SQL注入55

5.3.7 参数集合56

5.4 要点回顾57

5.5 OWASP参考资料57

5.6 其他参考资料58

第6章 A2失效的身份认证和会话管理59

6.1 失效的身份认证60

6.1.1 概述60

6.1.2 概览60

6.1.3 如何审查60

6.1.4 参考资料62

6.1.5 被遗忘的密码62

6.1.6 验证码64

6.1.7 带外通信66

6.2 A2会话管理68

6.2.1 概述68

6.2.2 概览68

6.2.3 审查的内容69

6.2.4 会话超时70

6.2.5 会话注销和结束71

6.2.6 会话管理的服务器端防御72

第7章 A3跨站脚本攻击（XSS）74

7.1 什么是跨站脚本攻击（XSS）75

7.2 概览75

7.3 如何审查75

7.3.1 安全代码审查需要详尽75

7.3.2 工具介绍76

7.4 OWASP参考资料77

7.5 其他参考资料77

第8章 A4不安全的直接对象引用79

8.1 概述80

8.2 概览80

8.3 如何审查80

8.3.1 SQL注入80

8.3.2 HTTP POST请求81

8.3.3 间接引用映射81

8.3.4 数据绑定技术82

8.3.5 安全设计建议82

8.3.6 审查准则82

8.4 安全代码审查人员应该做什么82

8.5 MVC.NET中的绑定问题83

8.5.1 相应的视图（HTML）83

8.5.2 建议84

8.6 参考资料84

第9章 A5安全配置错误85

9.1 Apache Struts86

9.2 Java企业版声明配置87

9.3 JEE注释91

9.4 框架特定配置：Apache Tomcat92

9.5 框架特定配置：Jetty93

9.6 框架特定配置：JBoss AS94

9.7 框架特定配置：Oracle WebLogic94

9.8 程序配置：JEE95

9.9 Microsoft IIS97

9.10 框架特定配置：Microsoft II99

9.11 程序配置：Microsoft IIS102

9.12 进一步的IIS配置103

9.12.1 过滤请求和URL重写103

9.12.2 参考资料111

9.13 强名称111

9.13.1 如何使用强名称112

9.13.2 参考资料115

9.14 Round Tripping115

9.14.1 混淆的重要性116

9.14.2 使用混淆116

9.14.3 ASPNetConfigs116

9.14.4 参考资料118

9.15 .NET验证控件118

第10章 A6敏感数据暴露124

10.1 加密控制125

10.1.1 概述125

10.1.2 审查内容：传输保护127

10.1.3 审查内容：存储保护129

10.1.4 加密、哈希和盐值135

10.1.5 参考资料138

10.2 减少攻击面139

10.2.1 概述139

10.2.2 审查内容140

10.2.3 参考资料141

第11章 A7功能级权限控制缺失142

11.1 授权143

11.2 概述144

11.3 注意事项146

11.4 访问控制备忘单148

11.4.1 硬编码方法148

11.4.2 防御访问控制攻击148

第12章 A8跨站请求伪造（CSRF）150

12.1 概述151

12.2 CSRF的工作原理152

12.3 注意事项153

12.3.1 无效的防御措施153

12.3.2 高风险功能154

12.3.3 防御CSRF攻击154

第13章 A9使用含有已知漏洞的组件159

13.1 概述160

13.2 注意事项160

第14章 A10未经验证的重定向和转发162

14.1 概述163

14.2 注意事项164

14.3 参考资料166

第15章 其他技术167

15.1 HTML5168

15.1.1 概述168

15.1.2 注意事项：Web信息传递168

15.1.3 注意事项：跨源资源共享169

15.1.4 注意事项：WebSockets170

15.1.5 注意事项：服务器推送事件172

15.2 同源策略172

15.2.1 概述172

15.2.2 注意事项173

15.3 审计日志代码174

15.3.1 概述174

15.3.2 注意事项175

15.3.3 参考资料176

15.4 错误处理177

15.4.1 概述177

15.4.2 注意事项178

15.4.3 注意事项：安全的失败180

15.4.4 注意事项：潜在漏洞代码180

15.4.5 注意事项：IIS错误处理183

15.4.6 注意事项：在Apache中处理错误185

15.4.7 注意事项：领先的实践错误处理186

15.4.8 注意事项：捕获异常的顺序187

15.4.9 注意事项：释放资源和良好的资源管理188

15.4.10 参考资料190

15.5 查看安全警报190

15.5.1 概述190

15.5.2 注意事项192

15.6 检查主动防御193

15.6.1 概述193

15.6.2 注意事项194

15.6.3 参考资料196

15.7 竞争条件196

15.7.1 概述196

15.7.2 注意事项197

15.7.3 参考资料198

15.8 缓冲区溢出198

15.8.1 概述198

15.8.2 注意事项：缓冲区溢出200

15.8.3 注意事项：格式函数溢出201

15.8.4 注意事项：整数溢出202

15.8.5 参考资料204

附录A 软件安全开发生命周期图表205

附录B 安全代码审查清单210

附录C 威胁建模示例214

C.1 威胁建模示例步骤1：分解应用214

C.2 威胁建模示例步骤2：威胁分类219

C.3 威胁建模示例步骤3：确定对策221

附录D 代码爬虫224

D.1 在.NET中搜索代码224

D.2 在Java中搜索代码230

D.3 在经典ASP中搜索代码234

D.4 在JavaScript和Ajax中搜索代码236

D.5 在C＋＋和Apache中搜索代码236

附录E 参考资料239