源代碼安全審計(jì)基礎(chǔ)——注冊(cè)網(wǎng)絡(luò)安全源代碼審計(jì)專業(yè)人員(NSATP-SCA)培訓(xùn)認(rèn)證教材
定 價(jià):120 元
- 作者:霍珊珊等
- 出版時(shí)間:2023/2/1
- ISBN:9787121449710
- 出 版 社:電子工業(yè)出版社
- 中圖法分類:TP311.52
- 頁碼:
- 紙張:
- 版次:
- 開本:
本書內(nèi)容是注冊(cè)網(wǎng)絡(luò)安全源代碼審計(jì)專業(yè)人員(NSATP-SCA)認(rèn)證培訓(xùn)的理論知識(shí)部分,對(duì)代碼審計(jì)的基礎(chǔ)知識(shí)和涉及的內(nèi)容�、代碼安全審計(jì)規(guī)范和審計(jì)指標(biāo)進(jìn)行了全面的介紹�����,同時(shí)�����,針對(duì)目前常用的程序設(shè)計(jì)語言Java、C/C++和C#��,分別基于其特點(diǎn)和漏洞測(cè)試規(guī)范中的案例進(jìn)行了具體的分析和解讀。本書參考了大量國(guó)內(nèi)外代碼安全審計(jì)規(guī)范�、安全開發(fā)規(guī)范、常見漏洞庫和相關(guān)文獻(xiàn)���,并進(jìn)行了解析��、匯總和提取����,以系統(tǒng)地闡述代碼審計(jì)的思想、技術(shù)和方法�,構(gòu)建完備的代碼審計(jì)知識(shí)體系,旨在為代碼審計(jì)人員提供全面和系統(tǒng)的指導(dǎo)��。
本書作者牽頭《GB/T 36958-2018 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求》���,參與《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等10余項(xiàng)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)的制定�����,作為項(xiàng)目負(fù)責(zé)人完成了《信息技術(shù)安全通用評(píng)價(jià)機(jī)制和關(guān)鍵技術(shù)研究》��、《產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全審查指標(biāo)體系建設(shè)和評(píng)價(jià)方法研究》等國(guó)家重點(diǎn)研發(fā)計(jì)劃課題項(xiàng)目�,發(fā)表了《網(wǎng)絡(luò)安全測(cè)評(píng)領(lǐng)域能力驗(yàn)證的設(shè)計(jì)方法和關(guān)鍵技術(shù)研究》等多篇期刊論文���。
目 錄
第1篇 代碼審計(jì)基礎(chǔ)
第1章 代碼安全現(xiàn)狀2
1.1 典型漏洞代碼案例分析2
1.2 代碼審計(jì)的基本思想5
1.3 代碼審計(jì)的現(xiàn)狀5
第2章 代碼審計(jì)概述7
2.1 代碼審計(jì)的概念7
2.2 代碼審計(jì)對(duì)象7
2.3 代碼審計(jì)的目的7
2.4 代碼審計(jì)的原則7
2.5 代碼審計(jì)要素8
2.6 代碼審計(jì)的內(nèi)容9
2.6.1 認(rèn)證管理9
2.6.2 授權(quán)管理11
2.6.3 輸入/輸出驗(yàn)證11
2.6.4 密碼管理12
2.6.5 調(diào)試和接口12
2.6.6 會(huì)話管理13
2.7 代碼審計(jì)的成果13
2.8 代碼審計(jì)的價(jià)值與意義14
2.9 代碼審計(jì)的發(fā)展趨勢(shì)14
第3章 代碼審計(jì)與漏洞驗(yàn)證相關(guān)工具15
3.1 常用代碼編輯器15
3.2 常用代碼審計(jì)工具18
3.3 常用漏洞驗(yàn)證工具23
第4章 代碼審計(jì)方法28
4.1 自上而下28
4.1.1 通讀代碼的技巧28
4.1.2 應(yīng)用案例30
4.2 自下而上39
4.3 利用功能點(diǎn)定向?qū)徲?jì)42
4.4 優(yōu)先審計(jì)框架安全44
4.5 邏輯覆蓋45
4.5.1 白盒測(cè)試45
4.5.2 邏輯覆蓋法47
4.6 代碼審計(jì)方法綜合應(yīng)用示例54
第5章 代碼審計(jì)技術(shù)56
5.1 詞法分析56
5.2 語法分析59
5.3 基于抽象語法樹的語義分析59
5.4 控制流分析63
5.5 數(shù)據(jù)流分析65
5.6 規(guī)則檢查分析66
小結(jié)67
參考資料68
第2篇 代碼審計(jì)規(guī)范
第6章 代碼審計(jì)規(guī)范解讀72
6.1 代碼審計(jì)說明72
6.2 常用術(shù)語72
6.3 代碼審計(jì)的時(shí)機(jī)73
6.4 代碼審計(jì)方法73
6.5 代碼審計(jì)流程74
6.6 代碼審計(jì)報(bào)告76
第7章 代碼審計(jì)指標(biāo)78
7.1 安全功能缺陷審計(jì)指標(biāo)78
7.1.1 數(shù)據(jù)清洗78
7.1.2 數(shù)據(jù)加密與保護(hù)86
7.1.3 訪問控制88
7.1.4 日志安全92
7.2 代碼實(shí)現(xiàn)缺陷審計(jì)指標(biāo)92
7.2.1 面向?qū)ο蟪绦虬踩?2
7.2.2 并發(fā)程序安全95
7.2.3 函數(shù)調(diào)用安全97
7.2.4 異常處理安全100
7.2.5 指針安全101
7.2.6 代碼生成安全103
7.3 資源使用缺陷審計(jì)指標(biāo)103
7.3.1 資源管理103
7.3.2 內(nèi)存管理106
7.3.3 數(shù)據(jù)庫使用110
7.3.4 文件管理110
7.3.5 網(wǎng)絡(luò)傳輸111
7.4 環(huán)境安全缺陷審計(jì)指標(biāo)113
小結(jié)113
參考資料114
第3篇 代碼安全審計(jì)參考規(guī)范
第8章 國(guó)際代碼安全開發(fā)參考規(guī)范116
8.1 CVE116
8.1.1 CVE概述116
8.1.2 CVE的產(chǎn)生背景116
8.1.3 CVE的特點(diǎn)116
8.1.4 CVE條目舉例117
8.2 OWASP118
8.2.1 OWASP概述118
8.2.2 OWASP Top 10118
8.2.3 OWASP安全測(cè)試指導(dǎo)方案139
8.2.4 OWASP安全計(jì)劃指導(dǎo)方案140
8.2.5 OWASP應(yīng)用程序管理方案141
8.3 CWE143
第9章 國(guó)內(nèi)源代碼漏洞測(cè)試規(guī)范165
9.1 軟件測(cè)試165
9.2 《Java語言源代碼漏洞測(cè)試規(guī)范》解讀171
9.2.1 適用范圍171
9.2.2 術(shù)語和定義171
9.2.3 Java源代碼漏洞測(cè)試總則174
9.2.4 Java源代碼漏洞測(cè)試工具178
9.2.5 Java源代碼漏洞測(cè)試文檔179
9.2.6 Java源代碼漏洞測(cè)試內(nèi)容183
9.3 《C/C++語言源代碼漏洞測(cè)試規(guī)范》解讀229
9.3.1 適用范圍230
9.3.2 術(shù)語和定義230
9.3.3 C/C++源代碼漏洞測(cè)試總則232
9.3.4 C/C++源代碼漏洞測(cè)試工具236
9.3.5 C/C++源代碼漏洞測(cè)試文檔236
9.3.6 C/C++源代碼漏洞測(cè)試內(nèi)容236
9.4 《C#語言源代碼漏洞測(cè)試規(guī)范》解讀272
9.4.1 適用范圍273
9.4.2 術(shù)語和定義273
9.4.3 C#源代碼漏洞測(cè)試總則276
9.4.4 C#源代碼漏洞測(cè)試工具279
9.4.5 C#源代碼漏洞測(cè)試文檔280
9.4.6 C#源代碼漏洞測(cè)試內(nèi)容280
小結(jié)329
參考資料330
第4篇 實(shí)際開發(fā)中的常見漏洞分析
第10章 實(shí)際開發(fā)中常見的Java源代碼漏洞分析334
10.1 SQL注入334
10.2 跨站腳本攻擊341
10.3 命令注入347
10.4 密碼硬編碼351
10.5 隱私泄露353
10.6 Header Manipulation356
10.7 日志偽造358
10.8 單例成員字段361
第11章 實(shí)際開發(fā)中常見的C/C++源代碼漏洞分析364
11.1 二次釋放364
11.2 錯(cuò)誤的內(nèi)存釋放對(duì)象366
11.3 返回棧地址367
11.4 返回值未初始化369
11.5 內(nèi)存泄漏370
11.6 資源未釋放371
11.7 函數(shù)地址使用不當(dāng)372
11.8 解引用未初始化的指針374
小結(jié)375
參考資料375
英文縮略語377
書單推薦
