注冊 | 登錄讀書好,好讀書,讀好書!
讀書網(wǎng)-DuShu.com
當前位置: 首頁出版圖書科學技術計算機/網(wǎng)絡軟件與程序設計其他編程語言/工具源代碼安全審計基礎(NSATP-SCA)

源代碼安全審計基礎(NSATP-SCA)

源代碼安全審計基礎(NSATP-SCA)

定 價:¥120.00

作 者: 霍珊珊 等
出版社: 電子工業(yè)出版社
叢編項: 注冊網(wǎng)絡安全源代碼審計專業(yè)人員培訓認證教材
標 簽: 暫缺
ISBN: 9787121449710 出版時間: 2023-02-01 包裝: 平塑單襯
開本: 16開 頁數(shù): 字數(shù):  

內(nèi)容簡介

  本書內(nèi)容是注冊網(wǎng)絡安全源代碼審計專業(yè)人員(NSATP-SCA)認證培訓的理論知識部分,對代碼審計的基礎知識和涉及的內(nèi)容、代碼安全審計規(guī)范和審計指標進行了全面的介紹,同時,針對目前常用的程序設計語言Java、C/C++和C#,分別基于其特點和漏洞測試規(guī)范中的案例進行了具體的分析和解讀。本書參考了大量國內(nèi)外代碼安全審計規(guī)范、安全開發(fā)規(guī)范、常見漏洞庫和相關文獻,并進行了解析、匯總和提取,以系統(tǒng)地闡述代碼審計的思想、技術和方法,構建完備的代碼審計知識體系,旨在為代碼審計人員提供全面和系統(tǒng)的指導。

作者簡介

  本書作者牽頭《GB/T 36958-2018 信息安全技術 網(wǎng)絡安全等級保護安全管理中心技術要求》,參與《GB/T 22239-2019 信息安全技術 網(wǎng)絡安全等級保護基本要求》等10余項國家標準和行業(yè)標準的制定,作為項目負責人完成了《信息技術安全通用評價機制和關鍵技術研究》、《產(chǎn)品和服務網(wǎng)絡安全審查指標體系建設和評價方法研究》等國家重點研發(fā)計劃課題項目,發(fā)表了《網(wǎng)絡安全測評領域能力驗證的設計方法和關鍵技術研究》等多篇期刊論文。

圖書目錄

目  錄

第1篇 代碼審計基礎
第1章 代碼安全現(xiàn)狀 2
1.1 典型漏洞代碼案例分析 2
1.2 代碼審計的基本思想 5
1.3 代碼審計的現(xiàn)狀 5
第2章 代碼審計概述 7
2.1 代碼審計的概念 7
2.2 代碼審計對象 7
2.3 代碼審計的目的 7
2.4 代碼審計的原則 7
2.5 代碼審計要素 8
2.6 代碼審計的內(nèi)容 9
2.6.1 認證管理 9
2.6.2 授權管理 11
2.6.3 輸入/輸出驗證 11
2.6.4 密碼管理 12
2.6.5 調(diào)試和接口 12
2.6.6 會話管理 13
2.7 代碼審計的成果 13
2.8 代碼審計的價值與意義 14
2.9 代碼審計的發(fā)展趨勢 14
第3章 代碼審計與漏洞驗證相關工具 15
3.1 常用代碼編輯器 15
3.2 常用代碼審計工具 18
3.3 常用漏洞驗證工具 23
第4章 代碼審計方法 28
4.1 自上而下 28
4.1.1 通讀代碼的技巧 28
4.1.2 應用案例 30
4.2 自下而上 39
4.3 利用功能點定向審計 42
4.4 優(yōu)先審計框架安全 44
4.5 邏輯覆蓋 45
4.5.1 白盒測試 45
4.5.2 邏輯覆蓋法 47
4.6 代碼審計方法綜合應用示例 54
第5章 代碼審計技術 56
5.1 詞法分析 56
5.2 語法分析 59
5.3 基于抽象語法樹的語義分析 59
5.4 控制流分析 63
5.5 數(shù)據(jù)流分析 65
5.6 規(guī)則檢查分析 66
小結 67
參考資料 68
第2篇 代碼審計規(guī)范
第6章 代碼審計規(guī)范解讀 72
6.1 代碼審計說明 72
6.2 常用術語 72
6.3 代碼審計的時機 73
6.4 代碼審計方法 73
6.5 代碼審計流程 74
6.6 代碼審計報告 76
第7章 代碼審計指標 78
7.1 安全功能缺陷審計指標 78
7.1.1 數(shù)據(jù)清洗 78
7.1.2 數(shù)據(jù)加密與保護 86
7.1.3 訪問控制 88
7.1.4 日志安全 92
7.2 代碼實現(xiàn)缺陷審計指標 92
7.2.1 面向對象程序安全 92
7.2.2 并發(fā)程序安全 95
7.2.3 函數(shù)調(diào)用安全 97
7.2.4 異常處理安全 100
7.2.5 指針安全 101
7.2.6 代碼生成安全 103
7.3 資源使用缺陷審計指標 103
7.3.1 資源管理 103
7.3.2 內(nèi)存管理 106
7.3.3 數(shù)據(jù)庫使用 110
7.3.4 文件管理 110
7.3.5 網(wǎng)絡傳輸 111
7.4 環(huán)境安全缺陷審計指標 113
小結 113
參考資料 114
第3篇 代碼安全審計參考規(guī)范
第8章 國際代碼安全開發(fā)參考規(guī)范 116
8.1 CVE 116
8.1.1 CVE概述 116
8.1.2 CVE的產(chǎn)生背景 116
8.1.3 CVE的特點 116
8.1.4 CVE條目舉例 117
8.2 OWASP 118
8.2.1 OWASP概述 118
8.2.2 OWASP Top 10 118
8.2.3 OWASP安全測試指導方案 139
8.2.4 OWASP安全計劃指導方案 140
8.2.5 OWASP應用程序管理方案 141
8.3 CWE 143
第9章 國內(nèi)源代碼漏洞測試規(guī)范 165
9.1 軟件測試 165
9.2 《Java語言源代碼漏洞測試規(guī)范》解讀 171
9.2.1 適用范圍 171
9.2.2 術語和定義 171
9.2.3 Java源代碼漏洞測試總則 174
9.2.4 Java源代碼漏洞測試工具 178
9.2.5 Java源代碼漏洞測試文檔 179
9.2.6 Java源代碼漏洞測試內(nèi)容 183
9.3 《C/C++語言源代碼漏洞測試規(guī)范》解讀 229
9.3.1 適用范圍 230
9.3.2 術語和定義 230
9.3.3 C/C++源代碼漏洞測試總則 232
9.3.4 C/C++源代碼漏洞測試工具 236
9.3.5 C/C++源代碼漏洞測試文檔 236
9.3.6 C/C++源代碼漏洞測試內(nèi)容 236
9.4 《C#語言源代碼漏洞測試規(guī)范》解讀 272
9.4.1 適用范圍 273
9.4.2 術語和定義 273
9.4.3 C#源代碼漏洞測試總則 276
9.4.4 C#源代碼漏洞測試工具 279
9.4.5 C#源代碼漏洞測試文檔 280
9.4.6 C#源代碼漏洞測試內(nèi)容 280
小結 329
參考資料 330
第4篇 實際開發(fā)中的常見漏洞分析
第10章 實際開發(fā)中常見的Java源代碼漏洞分析 334
10.1 SQL注入 334
10.2 跨站腳本攻擊 341
10.3 命令注入 347
10.4 密碼硬編碼 351
10.5 隱私泄露 353
10.6 Header Manipulation 356
10.7 日志偽造 358
10.8 單例成員字段 361
第11章 實際開發(fā)中常見的C/C++源代碼漏洞分析 364
11.1 二次釋放 364
11.2 錯誤的內(nèi)存釋放對象 366
11.3 返回棧地址 367
11.4 返回值未初始化 369
11.5 內(nèi)存泄漏 370
11.6 資源未釋放 371
11.7 函數(shù)地址使用不當 372
11.8 解引用未初始化的指針 374
小結 375
參考資料 375
英文縮略語 377

本目錄推薦

掃描二維碼
Copyright ? 讀書網(wǎng) www.dappsexplained.com 2005-2020, All Rights Reserved.
鄂ICP備15019699號 鄂公網(wǎng)安備 42010302001612號