應用軟件安全代碼審查指南檢視原始碼討論檢視歷史

來自 孔夫子網 的圖片

《應用軟件安全代碼審查指南》，OWASP基金會 著，出版社： 電子工業出版社。

電子工業出版社成立於1982年10月，是工業和信息化部直屬的科技與教育出版社，每年出版新書2400餘種，音像和電子出版物400餘種，期刊8種，出版物內容涵蓋了信息科技的各個專業分支以及工業技術、經濟管理、大眾生活、少兒科普^[1]等領域，綜合出版能力位居全國出版行業前列^[2]。

內容簡介

本書分為兩大部分，共15章。第一部分包含第1～4章，介紹了安全代碼審查的作用和方法，以及在軟件安全開發生命周期（S-SDLC）代碼審查過程中查找安全漏洞的方法。 [1]第二部分包含第5～15章，介紹2013年版《OWASP Top 10》中提出的安全風險的處理方法和技術，以及其他漏洞處理的方法和技術。本書適合軟件研發組織機構的高層管理人員、專業技術負責人、開發人員、測試人員和軟件安全人員，以及高等院校軟件工程、網絡安全專業的師生等閱讀學習。

目錄

第1章 如何使用《應用軟件安全代碼審查指南》 1

第2章 安全代碼審查 4

2.1 為什麼代碼有漏洞 5

2.2 代碼審查和安全代碼審查之間的區別是什麼 6

2.3 什麼是安全代碼審查 6

2.4 確定安全代碼審查的範圍 7

2.5 我們不能破解自己的安全性 9

2.6 安全代碼審查和滲透測試耦合 11

2.7 安全代碼審查對開發實踐的好處 13

2.8 安全代碼審查的技術 15

2.9 安全代碼審查與合規性 15

第3章 安全代碼審查的方法論 18

3.1 制定安全代碼審查流程時需要考慮的因素 19

3.1.1 風險 19

3.1.2 目的與背景 19

3.1.3 代碼行數 19

3.1.4 編程語言 20

3.1.5 資源、時間和期限 20

3.2 在S-SDLC中集成安全代碼審查 20

3.3 何時進行安全代碼審查 21

3.4 敏捷和瀑布開發中的安全代碼審查 23

3.5 基於風險的安全代碼審查方法 23

3.6 安全代碼審查準備 26

3.7 安全代碼審查發現和信息收集 28

3.8 靜態代碼分析 30

3.9 應用威脅建模 34

3.10 度量指標和安全代碼審查 42

3.11 代碼爬行 45 [1]

第4章 安全代碼審查注意事項 47

第5章 A1注入攻擊 49

5.1 概述 50

5.2 概覽 50

5.3 SQL盲注 51

5.3.1 SQL查詢參數化 51

5.3.2 安全的字符串拼接 52

5.3.3 運用靈活的參數化語句 53

5.3.4 PHP SQL注入 54

5.3.5 Java SQL注入 55

5.3.6 .NET SQL注入 55

5.3.7 參數集合 56

5.4 要點回顧 57

5.5 OWASP參考資料 57

5.6 其他參考資料 58

第6章 A2失效的身份認證和會話管理 59

6.1 失效的身份認證 60

6.1.1 概述 60

6.1.2 概覽 60

6.1.3 如何審查 60

6.1.4 參考資料 62

6.1.5 被遺忘的密碼 62

6.1.6 驗證碼 64

6.1.7 帶外通信 66

6.2 A2會話管理 68

6.2.1 概述 68

6.2.2 概覽 68

6.2.3 審查的內容 69

6.2.4 會話超時 70

6.2.5 會話註銷和結束 71

6.2.6 會話管理的服務器端防禦 72

第7章 A3跨站腳本攻擊（XSS） 74

7.1 什麼是跨站腳本攻擊（XSS） 75

7.2 概覽 75

7.3 如何審查 75

7.3.1 安全代碼審查需要詳盡 75

7.3.2 工具介紹 76

7.4 OWASP參考資料 77

7.5 其他參考資料 77

參考文獻