返回
代码审计:企业级Web代码安全架构

代码审计:企业级Web代码安全架构

ID:32309359

大小:5.52 MB

页数:80页

时间:2019-02-03

代码审计:企业级Web代码安全架构_第1页
代码审计:企业级Web代码安全架构_第2页
代码审计:企业级Web代码安全架构_第3页
代码审计:企业级Web代码安全架构_第4页
代码审计:企业级Web代码安全架构_第5页
资源描述:

《代码审计:企业级Web代码安全架构》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、信息安全技术丛书代码审计:企业级Web代码安全架构尹毅编著图书在版编目(CIP)数据代码审计:企业级Web代码安全架构/尹毅编著.—北京:机械工业出版社,2015.12(信息安全技术丛书)ISBN978-7-111-52006-1I.代… II.尹… III.计算机网络-安全技术 IV.TP393.08中国版本图书馆CIP数据核字(2015)第260798号代码审计是企业安全运营的重要步骤,也是安全从业者必备的基础技能。本书详细介绍代码审计的设计思路以及所需要的工具和方法,不仅用大量案例介绍了实用方法,而且剖析了各种代码安全问题的

2、成因与预防方案。无论是应用开发人员还是安全技术人员都能从本书获益。本书共分为三个部分。第一部分为代码审计前的准备,包括第1~2章,第1章详细介绍代码审计前需要了解的PHP核心配置文件以及PHP环境搭建的方法;第2章介绍学习PHP代码审计需要准备的工具,以及这些工具的详细使用方法。第二部分着重介绍PHP代码审计中的漏洞挖掘思路与防范方法,包括第3~8章,第3章详细介绍PHP代码审计的思路,包括根据关键字回溯参数、通读全文代码以及根据功能点定向挖掘漏洞的三个思路;第4~6章则介绍常见漏洞的审计方法,分别对应基础篇、进阶篇以及深入篇,涵

3、盖SQL注入漏洞、XSS漏洞、文件操作漏洞、代码/命令执行漏洞、变量覆盖漏洞以及逻辑处理等漏洞;第7章介绍二次漏洞的挖掘方法;第8章介绍代码审计过程中的一些重要技巧。第三部分主要介绍PHP安全编程规范,从攻击者的角度来告诉你应该怎么写出更安全的代码,包括第9~12章,第9章介绍参数的安全过滤;第10章介绍PHP中常用的加密算法;第11章从设计安全功能的角度出发,从攻击者的角度详细分析常见功能通常会出现的安全问题以及解决方案;第12章介绍企业的应用安全体系建设,介绍横向细化策略和纵深防御策略的具体实施方法与典型案例。代码审计:企业级

4、Web代码安全架构出版发行:机械工业出版社(北京市西城区百万庄大街22号 邮政编码:100037)责任编辑:吴 怡责任校对:董纪丽印  刷:版  次:2016年1月第1版第1次印刷开  本:186mm×240mm1/16印  张:15.25书  号:ISBN978-7-111-52006-1定  价:59.00元凡购本书,如有缺页、倒页、脱页,由本社发行部调换客服热线:(010)8837942688361066投稿热线:(010)88379604购书热线:(010)683262948837964968995259读者信箱:hzit

5、@hzbook.com版权所有·侵权必究封底无防伪标均为盗版本书法律顾问:北京大成律师事务所 韩光/邹晓东Preface序  言我第一次见到尹毅是2013年在北京中关村。那时候我正在安全宝创业,我们需要招募到最好的人才。这时候尹毅的博客吸引了我,在一个技术分享逐渐枯竭的时代,他的博客令人眼前一亮。然后我试图联系到了他,并邀请到北京来聊一聊。让我大吃一惊的是,尹毅当时还是一个孩子模样,但是时不时能从生涩的脸庞里看到成熟。在这个年纪就出来工作,我想他一定吃过很多苦。在之后的工作中,尹毅展现出了惊人的天赋。交给他的工作总是能迅速并出色地

6、完成,并时不时会在工作中有一些创新性成果令人惊喜。他的自驱力极强,总是不满足于简单的工作,于是我不得不想出一些更复杂和艰难的挑战交给他。2014年9月,安全宝分拆了部分业务被阿里收购,我带着尹毅一起到了阿里。此时他已经成为一个安全团队的Leader,在中国最大的互联网公司里贡献着力量。尹毅学东西很勤奋,他平时的业余时间就是写代码,或者看技术文章,因此进步迅速。他很快就在Web漏洞挖掘能力方面有了长足的进步,并取得了不错的成绩,他陆续发现了好些开源软件的高危漏洞。最难能可贵的是,他开始逐步总结这些经验,并且沉淀在自己开发的一个漏洞挖

7、掘工具里。这让他学会了如何从重复的体力劳动中解放出来,把精力用在更有价值的地方。这是一个优秀黑客应具有的特质:厌倦重复性的体力劳动,而对创新充满着无限的热情和旺盛的精力。尹毅认为,一个好的黑客,必须要懂编程。这也是他在这本书里所倡导的理念。在他看来,不懂编程、没挖过漏洞的黑客,充其量只能算“脚本小子”。所以,尹毅在本书的出发点是从代码审计开始,通过代码审计,去发现和挖掘漏洞。漏洞挖掘是一门艺术,同时也是信息安全的核心领域。安全技术发展到今天,常见的漏洞挖掘技术有代码审计、黑盒测试、Fuzzing、逆向分析等。每一种技术都有独到之处

8、,而其中,代码审计又是最基本、最直接的一种方式,是每一个安全专家都应该IV掌握的技能。但时至今日,全自动化的代码审计仍然存在很多困难,主要难点在于理解编程语言的语法、跨文件之间的关联调用、理解开发框架、业务逻辑等地方。因为这些困难在短期内难以克服,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。