应用软件安全代码审查指南查看源代码讨论查看历史
《应用软件安全代码审查指南》,OWASP基金会 著,出版社: 电子工业出版社。
电子工业出版社成立于1982年10月,是工业和信息化部直属的科技与教育出版社,每年出版新书2400余种,音像和电子出版物400余种,期刊8种,出版物内容涵盖了信息科技的各个专业分支以及工业技术、经济管理、大众生活、少儿科普[1]等领域,综合出版能力位居全国出版行业前列[2]。
内容简介
本书分为两大部分,共15章。第一部分包含第1~4章,介绍了安全代码审查的作用和方法,以及在软件安全开发生命周期(S-SDLC)代码审查过程中查找安全漏洞的方法。 [1]第二部分包含第5~15章,介绍2013年版《OWASP Top 10》中提出的安全风险的处理方法和技术,以及其他漏洞处理的方法和技术。本书适合软件研发组织机构的高层管理人员、专业技术负责人、开发人员、测试人员和软件安全人员,以及高等院校软件工程、网络安全专业的师生等阅读学习。
目录
第1章 如何使用《应用软件安全代码审查指南》 1
第2章 安全代码审查 4
2.1 为什么代码有漏洞 5
2.2 代码审查和安全代码审查之间的区别是什么 6
2.3 什么是安全代码审查 6
2.4 确定安全代码审查的范围 7
2.5 我们不能破解自己的安全性 9
2.6 安全代码审查和渗透测试耦合 11
2.7 安全代码审查对开发实践的好处 13
2.8 安全代码审查的技术 15
2.9 安全代码审查与合规性 15
第3章 安全代码审查的方法论 18
3.1 制定安全代码审查流程时需要考虑的因素 19
3.1.1 风险 19
3.1.2 目的与背景 19
3.1.3 代码行数 19
3.1.4 编程语言 20
3.1.5 资源、时间和期限 20
3.2 在S-SDLC中集成安全代码审查 20
3.3 何时进行安全代码审查 21
3.4 敏捷和瀑布开发中的安全代码审查 23
3.5 基于风险的安全代码审查方法 23
3.6 安全代码审查准备 26
3.7 安全代码审查发现和信息收集 28
3.8 静态代码分析 30
3.9 应用威胁建模 34
3.10 度量指标和安全代码审查 42
3.11 代码爬行 45 [1]
第4章 安全代码审查注意事项 47
第5章 A1注入攻击 49
5.1 概述 50
5.2 概览 50
5.3 SQL盲注 51
5.3.1 SQL查询参数化 51
5.3.2 安全的字符串拼接 52
5.3.3 运用灵活的参数化语句 53
5.3.4 PHP SQL注入 54
5.3.5 Java SQL注入 55
5.3.6 .NET SQL注入 55
5.3.7 参数集合 56
5.4 要点回顾 57
5.5 OWASP参考资料 57
5.6 其他参考资料 58
第6章 A2失效的身份认证和会话管理 59
6.1 失效的身份认证 60
6.1.1 概述 60
6.1.2 概览 60
6.1.3 如何审查 60
6.1.4 参考资料 62
6.1.5 被遗忘的密码 62
6.1.6 验证码 64
6.1.7 带外通信 66
6.2 A2会话管理 68
6.2.1 概述 68
6.2.2 概览 68
6.2.3 审查的内容 69
6.2.4 会话超时 70
6.2.5 会话注销和结束 71
6.2.6 会话管理的服务器端防御 72
第7章 A3跨站脚本攻击(XSS) 74
7.1 什么是跨站脚本攻击(XSS) 75
7.2 概览 75
7.3 如何审查 75
7.3.1 安全代码审查需要详尽 75
7.3.2 工具介绍 76
7.4 OWASP参考资料 77
7.5 其他参考资料 77
参考文献
- ↑ 100部科普经典名著,豆瓣,2018-04-26
- ↑ 关于我们,电子工业出版社