代碼審計 (企業級Web代碼安全架構)

尹毅

  • 出版商: 機械工業
  • 出版日期: 2016-01-01
  • 售價: $354
  • 貴賓價: 9.5$336
  • 語言: 簡體中文
  • 頁數: 229
  • 裝訂: 平裝
  • ISBN: 7111520068
  • ISBN-13: 9787111520061
  • 相關分類: PHP資訊安全
  • 立即出貨 (庫存=1)

買這商品的人也買了...

商品描述

<內容簡介>
 
本書詳細介紹代碼審計的設計思路以及所需要的工具和方法,不僅用大量案例介紹了實用方法,而且剖析了各種代碼安全問題的成因與預防策略。對開發人員和安全技術人員都有參考價值。本書共分為三個部分,第一部分為代碼審計前的準備,詳細介紹代碼審計前需要瞭解的PHP核心配置文件、PHP環境搭建的方法、代碼審計需要的工具,以及這些工具的詳細使用方法。第二部分著重介紹PHP代碼審計的中漏洞挖掘思路與防範方法,包括代碼審計的思路、常見漏洞的審計方法、二次漏洞的挖掘方法、代碼審計過程中的一些常用技巧。第三部分主要介紹PHP安全編程規範,從攻擊者的角度來告訴你應該怎麼寫出更安全的代碼,包括參數的安全過濾、PHP中常用的加密算法、常見功能通常會出現的安全問題、企業的應用安全體系建設等。
 

<作者簡介>

尹毅,網名Seay,阿裡巴巴安全專家,Seay源代碼審計系統作者,也是知名網絡安全博客www。cnseay。com的博主,至今個人博客訪問量超百萬。他15歲便開始接觸網絡安全,致力於Web安全研究,開發了大量的安全工具,樂於分享,在代碼審計和滲透測試方面有豐富的經驗。

<章節目錄>

Contents目錄
序言
前言
導讀
第一部分代碼審計前的準備
第1章代碼審計環境搭建2
1.1 wamp/wnmp環境搭建2
1.2 lamp/lnmp環境搭建4
1.3 PHP核心配置詳解6
第2章審計輔助與漏洞驗證工具14
2.1代碼編輯器14
2.1.1 Notepad++15
2.1.2 UltraEdit15
2.1.3 Zend Studio19
2.2代碼審計工具21
2.2.1 Seay源代碼審計系統21
2.2.2 Fortify SCA24
2.2.3 RIPS25
2.3漏洞驗證輔助27
2.3 .1 Burp Suite27
2.3.2瀏覽器擴展32
2.3.3編碼轉換及加解密工具36
2.3.4正則調試工具38
2.3.5 SQL執行監控工具40
第二部分漏洞發現與防範
第3章通用代碼審計思路46
3.1敏感函數回溯參數過程46
3.2通讀全文代碼50
3.3根據功能點定向審計64
第4章漏洞挖掘與防範(基礎篇)68
4.1 SQL註入漏洞68
4.1.1挖掘經驗69
4.1.2漏洞防範74
4.2 XSS漏洞77
4.2 .1挖掘經驗77
4.2.2漏洞防範82
4.3 CSRF漏洞83
4.3.1挖掘經驗83
4.3.2漏洞防範85
第5章漏洞挖掘與防範(進階篇)88
5.1文件操作漏洞88
5.1.1文件包含漏洞88
5.1.2文件讀取(下載)漏洞93
5.1.3文件上傳漏洞95
5.1.4文件刪除漏洞99
5.1.5文件操作漏洞防範100
5.2代碼執行漏洞102
5.2.1挖掘經驗102
5.2.2漏洞防範108
5.3命令執行漏洞108
5.3.1挖掘經驗109
5.3.2漏洞防範112
第6章漏洞挖掘與防範(深入篇)114
6.1變量覆蓋漏洞114
6.1.1挖掘經驗115
6.1.2漏洞防範121
6.2邏輯處理漏洞122
6.2.1挖掘經驗122
6.2.2漏洞防範130
6.3會話認證漏洞131
6.3.1挖掘經驗131
6.3.2漏洞防範135
第7章二次漏洞審計136
7.1什麼是二次漏洞136
7.2二次漏洞審計技巧137
7.3 dedecms二次註入漏洞分析137
第8章代碼審計小技巧142
8.1鑽GPC等轉義的空子142
8.1.1不受GPC保護的$_SERVER變量142
8.1.2編碼轉換問題143
8.2神奇的字符串146
8.2.1字符處理函數報錯信息洩露146
8.2.2字符串截斷148
8.3 php:輸入輸出流150
8.4 PHP代碼解析標籤153
8.5 fuzz漏洞發現154
8.6不嚴謹的正則表達式156
8.7十餘種MySQL報錯註入157
8.8 Windows FindFirstFile利用161
8.9 PHP可變變量162
第三部分PHP安全編程規範
第9章參數的安全過濾166
9.1第三方過濾函數與類166
9.1.1 discuz SQL安全過濾類分析167
9.1 .2 discuz xss標籤過濾函數分析173
9.2內置過濾函數175
第10章使用安全的加密算法177
10.1對稱加密177
10.1.1 3DES加密178
10.1.2 AES加密180
10.2非對稱加密183
10.3單向加密185
第11章業務功能安全設計187
11.1驗證碼187
11.1.1驗證碼繞過187
11.1.2驗證碼資源濫用191
11.2用戶登錄192
11.2.1撞庫漏洞192
11.2.2 API登錄193
11.3用戶註冊194
11.4密碼找回195
11.5資料查看與修改197
11.6投票/積分/抽獎198
11.7充值支付200
11.8私信及反饋200
11.9遠程地址訪問202
11.10文件管理204
11.11數據庫管理205
11.12命令/代碼執行206
11.13文件/數據庫備份207
11.14 API208
第12章應用安全體系建設211
12.1用戶密碼安全策略211
12.2前後台用戶分錶213
12.3後臺地址隱藏215
12.4密碼加密存儲方式216
12.5登錄限制218
12.6 API站庫分離218
12.7慎用第三方服務219
12.8嚴格的權限控制220
12.9敏感操作多因素驗證221
12.10應用自身的安全中心223
參考資源227