注冊 | 登錄讀書好,好讀書,讀好書!
讀書網(wǎng)-DuShu.com
當(dāng)前位置: 首頁出版圖書科學(xué)技術(shù)計算機/網(wǎng)絡(luò)軟件與程序設(shè)計其他編程語言/工具源代碼安全審計基礎(chǔ)(NSATP-SCA)

源代碼安全審計基礎(chǔ)(NSATP-SCA)

源代碼安全審計基礎(chǔ)(NSATP-SCA)

定 價:¥120.00

作 者: 霍珊珊 等
出版社: 電子工業(yè)出版社
叢編項: 注冊網(wǎng)絡(luò)安全源代碼審計專業(yè)人員培訓(xùn)認(rèn)證教材
標(biāo) 簽: 暫缺
ISBN: 9787121449710 出版時間: 2023-02-01 包裝: 平塑單襯
開本: 16開 頁數(shù): 字?jǐn)?shù):  

內(nèi)容簡介

  本書內(nèi)容是注冊網(wǎng)絡(luò)安全源代碼審計專業(yè)人員(NSATP-SCA)認(rèn)證培訓(xùn)的理論知識部分,對代碼審計的基礎(chǔ)知識和涉及的內(nèi)容、代碼安全審計規(guī)范和審計指標(biāo)進(jìn)行了全面的介紹,同時,針對目前常用的程序設(shè)計語言Java、C/C++和C#,分別基于其特點和漏洞測試規(guī)范中的案例進(jìn)行了具體的分析和解讀。本書參考了大量國內(nèi)外代碼安全審計規(guī)范、安全開發(fā)規(guī)范、常見漏洞庫和相關(guān)文獻(xiàn),并進(jìn)行了解析、匯總和提取,以系統(tǒng)地闡述代碼審計的思想、技術(shù)和方法,構(gòu)建完備的代碼審計知識體系,旨在為代碼審計人員提供全面和系統(tǒng)的指導(dǎo)。

作者簡介

  本書作者牽頭《GB/T 36958-2018 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)安全管理中心技術(shù)要求》,參與《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》等10余項國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的制定,作為項目負(fù)責(zé)人完成了《信息技術(shù)安全通用評價機制和關(guān)鍵技術(shù)研究》、《產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全審查指標(biāo)體系建設(shè)和評價方法研究》等國家重點研發(fā)計劃課題項目,發(fā)表了《網(wǎng)絡(luò)安全測評領(lǐng)域能力驗證的設(shè)計方法和關(guān)鍵技術(shù)研究》等多篇期刊論文。

圖書目錄

目  錄

第1篇 代碼審計基礎(chǔ)
第1章 代碼安全現(xiàn)狀 2
1.1 典型漏洞代碼案例分析 2
1.2 代碼審計的基本思想 5
1.3 代碼審計的現(xiàn)狀 5
第2章 代碼審計概述 7
2.1 代碼審計的概念 7
2.2 代碼審計對象 7
2.3 代碼審計的目的 7
2.4 代碼審計的原則 7
2.5 代碼審計要素 8
2.6 代碼審計的內(nèi)容 9
2.6.1 認(rèn)證管理 9
2.6.2 授權(quán)管理 11
2.6.3 輸入/輸出驗證 11
2.6.4 密碼管理 12
2.6.5 調(diào)試和接口 12
2.6.6 會話管理 13
2.7 代碼審計的成果 13
2.8 代碼審計的價值與意義 14
2.9 代碼審計的發(fā)展趨勢 14
第3章 代碼審計與漏洞驗證相關(guān)工具 15
3.1 常用代碼編輯器 15
3.2 常用代碼審計工具 18
3.3 常用漏洞驗證工具 23
第4章 代碼審計方法 28
4.1 自上而下 28
4.1.1 通讀代碼的技巧 28
4.1.2 應(yīng)用案例 30
4.2 自下而上 39
4.3 利用功能點定向?qū)徲?42
4.4 優(yōu)先審計框架安全 44
4.5 邏輯覆蓋 45
4.5.1 白盒測試 45
4.5.2 邏輯覆蓋法 47
4.6 代碼審計方法綜合應(yīng)用示例 54
第5章 代碼審計技術(shù) 56
5.1 詞法分析 56
5.2 語法分析 59
5.3 基于抽象語法樹的語義分析 59
5.4 控制流分析 63
5.5 數(shù)據(jù)流分析 65
5.6 規(guī)則檢查分析 66
小結(jié) 67
參考資料 68
第2篇 代碼審計規(guī)范
第6章 代碼審計規(guī)范解讀 72
6.1 代碼審計說明 72
6.2 常用術(shù)語 72
6.3 代碼審計的時機 73
6.4 代碼審計方法 73
6.5 代碼審計流程 74
6.6 代碼審計報告 76
第7章 代碼審計指標(biāo) 78
7.1 安全功能缺陷審計指標(biāo) 78
7.1.1 數(shù)據(jù)清洗 78
7.1.2 數(shù)據(jù)加密與保護(hù) 86
7.1.3 訪問控制 88
7.1.4 日志安全 92
7.2 代碼實現(xiàn)缺陷審計指標(biāo) 92
7.2.1 面向?qū)ο蟪绦虬踩?92
7.2.2 并發(fā)程序安全 95
7.2.3 函數(shù)調(diào)用安全 97
7.2.4 異常處理安全 100
7.2.5 指針安全 101
7.2.6 代碼生成安全 103
7.3 資源使用缺陷審計指標(biāo) 103
7.3.1 資源管理 103
7.3.2 內(nèi)存管理 106
7.3.3 數(shù)據(jù)庫使用 110
7.3.4 文件管理 110
7.3.5 網(wǎng)絡(luò)傳輸 111
7.4 環(huán)境安全缺陷審計指標(biāo) 113
小結(jié) 113
參考資料 114
第3篇 代碼安全審計參考規(guī)范
第8章 國際代碼安全開發(fā)參考規(guī)范 116
8.1 CVE 116
8.1.1 CVE概述 116
8.1.2 CVE的產(chǎn)生背景 116
8.1.3 CVE的特點 116
8.1.4 CVE條目舉例 117
8.2 OWASP 118
8.2.1 OWASP概述 118
8.2.2 OWASP Top 10 118
8.2.3 OWASP安全測試指導(dǎo)方案 139
8.2.4 OWASP安全計劃指導(dǎo)方案 140
8.2.5 OWASP應(yīng)用程序管理方案 141
8.3 CWE 143
第9章 國內(nèi)源代碼漏洞測試規(guī)范 165
9.1 軟件測試 165
9.2 《Java語言源代碼漏洞測試規(guī)范》解讀 171
9.2.1 適用范圍 171
9.2.2 術(shù)語和定義 171
9.2.3 Java源代碼漏洞測試總則 174
9.2.4 Java源代碼漏洞測試工具 178
9.2.5 Java源代碼漏洞測試文檔 179
9.2.6 Java源代碼漏洞測試內(nèi)容 183
9.3 《C/C++語言源代碼漏洞測試規(guī)范》解讀 229
9.3.1 適用范圍 230
9.3.2 術(shù)語和定義 230
9.3.3 C/C++源代碼漏洞測試總則 232
9.3.4 C/C++源代碼漏洞測試工具 236
9.3.5 C/C++源代碼漏洞測試文檔 236
9.3.6 C/C++源代碼漏洞測試內(nèi)容 236
9.4 《C#語言源代碼漏洞測試規(guī)范》解讀 272
9.4.1 適用范圍 273
9.4.2 術(shù)語和定義 273
9.4.3 C#源代碼漏洞測試總則 276
9.4.4 C#源代碼漏洞測試工具 279
9.4.5 C#源代碼漏洞測試文檔 280
9.4.6 C#源代碼漏洞測試內(nèi)容 280
小結(jié) 329
參考資料 330
第4篇 實際開發(fā)中的常見漏洞分析
第10章 實際開發(fā)中常見的Java源代碼漏洞分析 334
10.1 SQL注入 334
10.2 跨站腳本攻擊 341
10.3 命令注入 347
10.4 密碼硬編碼 351
10.5 隱私泄露 353
10.6 Header Manipulation 356
10.7 日志偽造 358
10.8 單例成員字段 361
第11章 實際開發(fā)中常見的C/C++源代碼漏洞分析 364
11.1 二次釋放 364
11.2 錯誤的內(nèi)存釋放對象 366
11.3 返回棧地址 367
11.4 返回值未初始化 369
11.5 內(nèi)存泄漏 370
11.6 資源未釋放 371
11.7 函數(shù)地址使用不當(dāng) 372
11.8 解引用未初始化的指針 374
小結(jié) 375
參考資料 375
英文縮略語 377

本目錄推薦

掃描二維碼
Copyright ? 讀書網(wǎng) www.talentonion.com 2005-2020, All Rights Reserved.
鄂ICP備15019699號 鄂公網(wǎng)安備 42010302001612號