作品简介
代码审计是企业安全运营以及安全从业者必备的基本技能。本书详细介绍代码审计的设计思路以及所需要的工具和方法,不仅用大量案例介绍了漏洞挖掘方法,而且在代码层和功能设计层剖析了各种安全漏洞的成因与预防策略。对应用开发人员和安全技术人员都有参考价值。
作者:尹毅
- 书名
代码审计:企业级Web代码安全架构
- 作者尹毅
- 出版社机械工业出版社 / 2015-11
- ISBN书号9787111520061
- 字数约 84,000 字
- 全本定价¥25.00
作品目录
- 序言
- 前言
- 导读
- 第一部分 代码审计前的准备
- 第1章 代码审计环境搭建
- 1.1 wamp/wnmp环境搭建
- 1.2 lamp/lnmp环境搭建
- 1.3 PHP核心配置详解
- 第2章 审计辅助与漏洞验证工具
- 2.1 代码编辑器
- 2.2 代码审计工具
- 2.3 漏洞验证辅助
- 第二部分 漏洞发现与防范
- 第3章 通用代码审计思路
- 3.1 敏感函数回溯参数过程
- 3.2 通读全文代码
- 3.3 根据功能点定向审计
- 第4章 漏洞挖掘与防范(基础篇)
- 4.1 SQL注入漏洞
- 4.2 XSS漏洞
- 4.3 CSRF漏洞
- 第5章 漏洞挖掘与防范(进阶篇)
- 5.1 文件操作漏洞
- 5.2 代码执行漏洞
- 5.3 命令执行漏洞
- 第6章 漏洞挖掘与防范(深入篇)
- 6.1 变量覆盖漏洞
- 6.2 逻辑处理漏洞
- 6.3 会话认证漏洞
- 第7章 二次漏洞审计
- 7.1 什么是二次漏洞
- 7.2 二次漏洞审计技巧
- 7.3 dedecms二次注入漏洞分析
- 第8章 代码审计小技巧
- 8.1 钻GPC等转义的空子
- 8.2 神奇的字符串
- 8.3 php://输入输出流
- 8.4 PHP代码解析标签
- 8.5 fuzz漏洞发现
- 8.6 不严谨的正则表达式
- 8.7 十余种MySQL报错注入
- 8.8 Windows FindFirstFile利用
- 8.9 PHP可变变量
- 第三部分 PHP安全编程规范
- 第9章 参数的安全过滤
- 9.1 第三方过滤函数与类
- 9.2 内置过滤函数
- 第10章 使用安全的加密算法
- 10.1 对称加密
- 10.2 非对称加密
- 10.3 单向加密
- 第11章 业务功能安全设计
- 11.1 验证码
- 11.2 用户登录
- 11.3 用户注册
- 11.4 密码找回
- 11.5 资料查看与修改
- 11.6 投票/积分/抽奖
- 11.7 充值支付
- 11.8 私信及反馈
- 11.9 远程地址访问
- 11.10 文件管理
- 11.11 数据库管理
- 11.12 命令/代码执行
- 11.13 文件/数据库备份
- 11.14 API
- 第12章 应用安全体系建设
- 12.1 用户密码安全策略
- 12.2 前后台用户分表
- 12.3 后台地址隐藏
- 12.4 密码加密存储方式
- 12.5 登录限制
- 12.6 API站库分离
- 12.7 慎用第三方服务
- 12.8 严格的权限控制
- 12.9 敏感操作多因素验证
- 12.10 应用自身的安全中心
- 参考资源