源代碼安全審計(jì)基礎(chǔ)（NSATP-SCA）

定　價(jià)：￥120.00

作　者：	霍珊珊等
出版社：	電子工業(yè)出版社
叢編項(xiàng)：	注冊網(wǎng)絡(luò)安全源代碼審計(jì)專業(yè)人員培訓(xùn)認(rèn)證教材
標(biāo)　簽：	暫缺

購買這本書可以去

ISBN：	9787121449710	出版時(shí)間：	2023-02-01	包裝：	平塑單襯
開本：	16開	頁數(shù)：		字?jǐn)?shù)：

內(nèi)容簡介

　　本書內(nèi)容是注冊網(wǎng)絡(luò)安全源代碼審計(jì)專業(yè)人員（NSATP-SCA）認(rèn)證培訓(xùn)的理論知識部分，對代碼審計(jì)的基礎(chǔ)知識和涉及的內(nèi)容、代碼安全審計(jì)規(guī)范和審計(jì)指標(biāo)進(jìn)行了全面的介紹，同時(shí)，針對目前常用的程序設(shè)計(jì)語言Java、C/C++和C#，分別基于其特點(diǎn)和漏洞測試規(guī)范中的案例進(jìn)行了具體的分析和解讀。本書參考了大量國內(nèi)外代碼安全審計(jì)規(guī)范、安全開發(fā)規(guī)范、常見漏洞庫和相關(guān)文獻(xiàn)，并進(jìn)行了解析、匯總和提取，以系統(tǒng)地闡述代碼審計(jì)的思想、技術(shù)和方法，構(gòu)建完備的代碼審計(jì)知識體系，旨在為代碼審計(jì)人員提供全面和系統(tǒng)的指導(dǎo)。

作者簡介

　　本書作者牽頭《GB/T 36958-2018 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)安全管理中心技術(shù)要求》，參與《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》等10余項(xiàng)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的制定，作為項(xiàng)目負(fù)責(zé)人完成了《信息技術(shù)安全通用評價(jià)機(jī)制和關(guān)鍵技術(shù)研究》、《產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全審查指標(biāo)體系建設(shè)和評價(jià)方法研究》等國家重點(diǎn)研發(fā)計(jì)劃課題項(xiàng)目，發(fā)表了《網(wǎng)絡(luò)安全測評領(lǐng)域能力驗(yàn)證的設(shè)計(jì)方法和關(guān)鍵技術(shù)研究》等多篇期刊論文。

圖書目錄

目　　錄

第1篇　代碼審計(jì)基礎(chǔ)
第1章　代碼安全現(xiàn)狀 2
1.1　典型漏洞代碼案例分析 2
1.2　代碼審計(jì)的基本思想 5
1.3　代碼審計(jì)的現(xiàn)狀 5
第2章　代碼審計(jì)概述 7
2.1　代碼審計(jì)的概念 7
2.2　代碼審計(jì)對象 7
2.3　代碼審計(jì)的目的 7
2.4　代碼審計(jì)的原則 7
2.5　代碼審計(jì)要素 8
2.6　代碼審計(jì)的內(nèi)容 9
2.6.1　認(rèn)證管理 9
2.6.2　授權(quán)管理 11
2.6.3　輸入/輸出驗(yàn)證 11
2.6.4　密碼管理 12
2.6.5　調(diào)試和接口 12
2.6.6　會話管理 13
2.7　代碼審計(jì)的成果 13
2.8　代碼審計(jì)的價(jià)值與意義 14
2.9　代碼審計(jì)的發(fā)展趨勢 14
第3章　代碼審計(jì)與漏洞驗(yàn)證相關(guān)工具 15
3.1　常用代碼編輯器 15
3.2　常用代碼審計(jì)工具 18
3.3　常用漏洞驗(yàn)證工具 23
第4章　代碼審計(jì)方法 28
4.1　自上而下 28
4.1.1　通讀代碼的技巧 28
4.1.2　應(yīng)用案例 30
4.2　自下而上 39
4.3　利用功能點(diǎn)定向?qū)徲?jì) 42
4.4　優(yōu)先審計(jì)框架安全 44
4.5　邏輯覆蓋 45
4.5.1　白盒測試 45
4.5.2　邏輯覆蓋法 47
4.6　代碼審計(jì)方法綜合應(yīng)用示例 54
第5章　代碼審計(jì)技術(shù) 56
5.1　詞法分析 56
5.2　語法分析 59
5.3　基于抽象語法樹的語義分析 59
5.4　控制流分析 63
5.5　數(shù)據(jù)流分析 65
5.6　規(guī)則檢查分析 66
小結(jié) 67
參考資料 68
第2篇　代碼審計(jì)規(guī)范
第6章　代碼審計(jì)規(guī)范解讀 72
6.1　代碼審計(jì)說明 72
6.2　常用術(shù)語 72
6.3　代碼審計(jì)的時(shí)機(jī) 73
6.4　代碼審計(jì)方法 73
6.5　代碼審計(jì)流程 74
6.6　代碼審計(jì)報(bào)告 76
第7章　代碼審計(jì)指標(biāo) 78
7.1　安全功能缺陷審計(jì)指標(biāo) 78
7.1.1　數(shù)據(jù)清洗 78
7.1.2　數(shù)據(jù)加密與保護(hù) 86
7.1.3　訪問控制 88
7.1.4　日志安全 92
7.2　代碼實(shí)現(xiàn)缺陷審計(jì)指標(biāo) 92
7.2.1　面向?qū)ο蟪绦虬踩?92
7.2.2　并發(fā)程序安全 95
7.2.3　函數(shù)調(diào)用安全 97
7.2.4　異常處理安全 100
7.2.5　指針安全 101
7.2.6　代碼生成安全 103
7.3　資源使用缺陷審計(jì)指標(biāo) 103
7.3.1　資源管理 103
7.3.2　內(nèi)存管理 106
7.3.3　數(shù)據(jù)庫使用 110
7.3.4　文件管理 110
7.3.5　網(wǎng)絡(luò)傳輸 111
7.4　環(huán)境安全缺陷審計(jì)指標(biāo) 113
小結(jié) 113
參考資料 114
第3篇　代碼安全審計(jì)參考規(guī)范
第8章　國際代碼安全開發(fā)參考規(guī)范 116
8.1　CVE 116
8.1.1　CVE概述 116
8.1.2　CVE的產(chǎn)生背景 116
8.1.3　CVE的特點(diǎn) 116
8.1.4　CVE條目舉例 117
8.2　OWASP 118
8.2.1　OWASP概述 118
8.2.2　OWASP Top 10 118
8.2.3　OWASP安全測試指導(dǎo)方案 139
8.2.4　OWASP安全計(jì)劃指導(dǎo)方案 140
8.2.5　OWASP應(yīng)用程序管理方案 141
8.3　CWE 143
第9章　國內(nèi)源代碼漏洞測試規(guī)范 165
9.1　軟件測試 165
9.2 《Java語言源代碼漏洞測試規(guī)范》解讀 171
9.2.1　適用范圍 171
9.2.2　術(shù)語和定義 171
9.2.3　Java源代碼漏洞測試總則 174
9.2.4　Java源代碼漏洞測試工具 178
9.2.5　Java源代碼漏洞測試文檔 179
9.2.6　Java源代碼漏洞測試內(nèi)容 183
9.3 《C/C++語言源代碼漏洞測試規(guī)范》解讀 229
9.3.1　適用范圍 230
9.3.2　術(shù)語和定義 230
9.3.3　C/C++源代碼漏洞測試總則 232
9.3.4　C/C++源代碼漏洞測試工具 236
9.3.5　C/C++源代碼漏洞測試文檔 236
9.3.6　C/C++源代碼漏洞測試內(nèi)容 236
9.4 《C#語言源代碼漏洞測試規(guī)范》解讀 272
9.4.1　適用范圍 273
9.4.2　術(shù)語和定義 273
9.4.3　C#源代碼漏洞測試總則 276
9.4.4　C#源代碼漏洞測試工具 279
9.4.5　C#源代碼漏洞測試文檔 280
9.4.6　C#源代碼漏洞測試內(nèi)容 280
小結(jié) 329
參考資料 330
第4篇　實(shí)際開發(fā)中的常見漏洞分析
第10章　實(shí)際開發(fā)中常見的Java源代碼漏洞分析 334
10.1　SQL注入 334
10.2　跨站腳本攻擊 341
10.3　命令注入 347
10.4　密碼硬編碼 351
10.5　隱私泄露 353
10.6　Header Manipulation 356
10.7　日志偽造 358
10.8　單例成員字段 361
第11章　實(shí)際開發(fā)中常見的C/C++源代碼漏洞分析 364
11.1　二次釋放 364
11.2　錯(cuò)誤的內(nèi)存釋放對象 366
11.3　返回棧地址 367
11.4　返回值未初始化 369
11.5　內(nèi)存泄漏 370
11.6　資源未釋放 371
11.7　函數(shù)地址使用不當(dāng) 372
11.8　解引用未初始化的指針 374
小結(jié) 375
參考資料 375
英文縮略語 377