本书内容是注册网络安全源代码审计专业人员(NSATP-SCA)认证培训的理论知识部分,对代码审计的基础知识和涉及的内容、代码安全审计规范和审计指标进行了全面的介绍,同时,针对目前常用的程序设计语言Java、C/C++和C#,分别基于其特点和漏洞测试规范中的案例进行了具体的分析和解读。本书参考了大量国内外代码安全审计规范、安全开发规范、常见漏洞库和相关文献,并进行了解析、汇总和提取,以系统地阐述代码审计的思想、技术和方法,构建完备的代码审计知识体系,旨在为代码审计人员提供全面和系统的指导。
本书非常适合作为网络安全渗透测试人员、企业网络安全防护人员及研发、运维、测试等技术人员的参考教材。
内容推荐
目录
第1篇 代码审计基础
第1章 代码安全现状
1.1 典型漏洞代码案例分析
1.2 代码审计的基本思想
1.3 代码审计的现状
第2章 代码审计概述
2.1 代码审计的概念
2.2 代码审计对象
2.3 代码审计的目的
2.4 代码审计的原则
2.5 代码审计要素
2.6 代码审计的内容
2.6.1 认证管理
2.6.2 授权管理
2.6.3 输入/输出验证
2.6.4 密码管理
2.6.5 调试和接口
2.6.6 会话管理
2.7 代码审计的成果
2.8 代码审计的价值与意义
2.9 代码审计的发展趋势
第3章 代码审计与漏洞验证相关工具
3.1 常用代码编辑器
3.2 常用代码审计工具
3.3 常用漏洞验证工具
第4章 代码审计方法
4.1 自上而下
4.1.1 通读代码的技巧
4.1.2 应用案例
4.2 自下而上
4.3 利用功能点定向审计
4.4 优先审计框架安全
4.5 逻辑覆盖
4.5.1 白盒测试
4.5.2 逻辑覆盖法
4.6 代码审计方法综合应用示例
第5章 代码审计技术
5.1 词法分析
5.2 语法分析
5.3 基于抽象语法树的语义分析
5.4 控制流分析
5.5 数据流分析
5.6 规则检查分析
小结
参考资料
第2篇 代码审计规范
第6章 代码审计规范解读
6.1 代码审计说明
6.2 常用术语
6.3 代码审计的时机
6.4 代码审计方法
6.5 代码审计流程
6.6 代码审计报告
第7章 代码审计指标
7.1 安全功能缺陷审计指标
7.1.1 数据清洗
7.1.2 数据加密与保护
7.1.3 访问控制
7.1.4 日志安全
7.2 代码实现缺陷审计指标
7.2.1 面向对象程序安全
7.2.2 并发程序安全
7.2.3 函数调用安全
7.2.4 异常处理安全
7.2.5 指针安全
7.2.6 代码生成安全
7.3 资源使用缺陷审计指标
7.3.1 资源管理
7.3.2 内存管理
7.3.3 数据库使用
7.3.4 文件管理
7.3.5 网络传输
7.4 环境安全缺陷审计指标
小结
参考资料
第3篇 代码安全审计参考规范
第8章 国际代码安全开发参考规范
8.1 CVE
8.1.1 CVE概述
8.1.2 CVE的产生背景
8.1.3 CVE的特点
8.1.4 CVE条目举例
8.2 OWASP
8.2.1 OWASP概述
8.2.2 OWASPTop10
8.2.3 OWASP安全测试指导方案
8.2.4 OWASP安全计划指导方案
8.2.5 OWASP应用程序管理方案
8.3 CWE
第9章 国内源代码漏洞测试规范
9.1 软件测试
9.2 《Java语言源代码漏洞测试规范》解读
9.2.1 适用范围
9.2.2 术语和定义
9.2.3 Java源代码漏洞测试总则
9.2.4 Java源代码漏洞测试工具
9.2.5 Java源代码漏洞测试文档
9.2.6 Java源代码漏洞测试内容
9.3 《C/C++语言源代码漏洞测试规范》解读
9.3.1 适用范围
9.3.2 术语和定义
9.3.3 C/C++源代码漏洞测试总则
9.3.4 C/C++源代码漏洞测试工具
9.3.5 C/C++源代码漏洞测试文档
9.3.6 C/C++源代码漏洞测试内容
9.4 《C#语言源代码漏洞测试规范》解读
9.4.1 适用范围
9.4.2 术语和定义
9.4.3 C#源代码漏洞测试总则
9.4.4 C#源代码漏洞测试工具
9.4.5 C#源代码漏洞测试文档
9.4.6 C#源代码漏洞测试内容
小结
参考资料
第4篇 实际开发中的常见漏洞分析
第10章 实际开发中常见的Java源代码漏洞分析
10.1 SQL注入
10.2 跨站脚本攻击
10.3 命令注入
10.4 密码硬编码
10.5 隐私泄露
10.6 Header Manipulation
10.7 日志伪造
10.8 单例成员字段
第11章 实际开发中常见的C/C++源代码漏洞分析
11.1 二次释放
11.2 错误的内存释放对象
11.3 返回栈地址
11.4 返回值未初始化
11.5 内存泄漏
11.6 资源未释放
11.7 函数地址使用不当
11.8 解引用未初始化的指针
小结
参考资料
英文缩略语
第1章 代码安全现状
1.1 典型漏洞代码案例分析
1.2 代码审计的基本思想
1.3 代码审计的现状
第2章 代码审计概述
2.1 代码审计的概念
2.2 代码审计对象
2.3 代码审计的目的
2.4 代码审计的原则
2.5 代码审计要素
2.6 代码审计的内容
2.6.1 认证管理
2.6.2 授权管理
2.6.3 输入/输出验证
2.6.4 密码管理
2.6.5 调试和接口
2.6.6 会话管理
2.7 代码审计的成果
2.8 代码审计的价值与意义
2.9 代码审计的发展趋势
第3章 代码审计与漏洞验证相关工具
3.1 常用代码编辑器
3.2 常用代码审计工具
3.3 常用漏洞验证工具
第4章 代码审计方法
4.1 自上而下
4.1.1 通读代码的技巧
4.1.2 应用案例
4.2 自下而上
4.3 利用功能点定向审计
4.4 优先审计框架安全
4.5 逻辑覆盖
4.5.1 白盒测试
4.5.2 逻辑覆盖法
4.6 代码审计方法综合应用示例
第5章 代码审计技术
5.1 词法分析
5.2 语法分析
5.3 基于抽象语法树的语义分析
5.4 控制流分析
5.5 数据流分析
5.6 规则检查分析
小结
参考资料
第2篇 代码审计规范
第6章 代码审计规范解读
6.1 代码审计说明
6.2 常用术语
6.3 代码审计的时机
6.4 代码审计方法
6.5 代码审计流程
6.6 代码审计报告
第7章 代码审计指标
7.1 安全功能缺陷审计指标
7.1.1 数据清洗
7.1.2 数据加密与保护
7.1.3 访问控制
7.1.4 日志安全
7.2 代码实现缺陷审计指标
7.2.1 面向对象程序安全
7.2.2 并发程序安全
7.2.3 函数调用安全
7.2.4 异常处理安全
7.2.5 指针安全
7.2.6 代码生成安全
7.3 资源使用缺陷审计指标
7.3.1 资源管理
7.3.2 内存管理
7.3.3 数据库使用
7.3.4 文件管理
7.3.5 网络传输
7.4 环境安全缺陷审计指标
小结
参考资料
第3篇 代码安全审计参考规范
第8章 国际代码安全开发参考规范
8.1 CVE
8.1.1 CVE概述
8.1.2 CVE的产生背景
8.1.3 CVE的特点
8.1.4 CVE条目举例
8.2 OWASP
8.2.1 OWASP概述
8.2.2 OWASPTop10
8.2.3 OWASP安全测试指导方案
8.2.4 OWASP安全计划指导方案
8.2.5 OWASP应用程序管理方案
8.3 CWE
第9章 国内源代码漏洞测试规范
9.1 软件测试
9.2 《Java语言源代码漏洞测试规范》解读
9.2.1 适用范围
9.2.2 术语和定义
9.2.3 Java源代码漏洞测试总则
9.2.4 Java源代码漏洞测试工具
9.2.5 Java源代码漏洞测试文档
9.2.6 Java源代码漏洞测试内容
9.3 《C/C++语言源代码漏洞测试规范》解读
9.3.1 适用范围
9.3.2 术语和定义
9.3.3 C/C++源代码漏洞测试总则
9.3.4 C/C++源代码漏洞测试工具
9.3.5 C/C++源代码漏洞测试文档
9.3.6 C/C++源代码漏洞测试内容
9.4 《C#语言源代码漏洞测试规范》解读
9.4.1 适用范围
9.4.2 术语和定义
9.4.3 C#源代码漏洞测试总则
9.4.4 C#源代码漏洞测试工具
9.4.5 C#源代码漏洞测试文档
9.4.6 C#源代码漏洞测试内容
小结
参考资料
第4篇 实际开发中的常见漏洞分析
第10章 实际开发中常见的Java源代码漏洞分析
10.1 SQL注入
10.2 跨站脚本攻击
10.3 命令注入
10.4 密码硬编码
10.5 隐私泄露
10.6 Header Manipulation
10.7 日志伪造
10.8 单例成员字段
第11章 实际开发中常见的C/C++源代码漏洞分析
11.1 二次释放
11.2 错误的内存释放对象
11.3 返回栈地址
11.4 返回值未初始化
11.5 内存泄漏
11.6 资源未释放
11.7 函数地址使用不当
11.8 解引用未初始化的指针
小结
参考资料
英文缩略语
- 大年写春联(篆书集字)
- 音乐语言的根基--基础乐理理论研究
- 我对中国有信心(精)/小康中国发展口述史
- 家装经典细部设计(上顶棚地面隔断海量版珍藏版)
- 粤港澳大湾区药用植物名录(精)
- 立体构成(第2版高等院校艺术学门类十三五系列教材)
- 100个大学生的青春梦--庄老师陪你度过青葱岁月(Ⅰ)
- 嫦娥奔月(精)/中国传统故事好绘本
- 计算机网络技术
- 会计信息系统(用友ERP-U8V10.1版第6版十二五职业教育国家规划教材修订版高等职业教育财务会计类专业经典系列教材)
- 皎洁月光
- 白羊座--裙摆是花开的地方/淑女文学馆浪漫星语系列
- 再也没有谈不成的事
- 拒绝疼痛(骨科常见多发病疼痛康复手册)
- 手术治疗关节内及关节周围骨折策略与技巧汇编
- 史研双峰(上海史1989年版上海工人运动史1991\1996年版是怎样写成的)
- 工程量清单计价(十二五职业教育国家规划教材)
- 我们爱过又忘记(精)
- 100小时过注会(公司战略与风险管理)/2020年注册会计师考试
- 老照片(第129辑)
- 海岱朝宗(山东古代文物菁华)(精)/中国国家博物馆国内交流系列丛书
- 水稻高产与氮高效的协同机理
- 萨金特经典素描/向大师学绘画巨匠素描大范本
- 商业地产与地产商业(十年实战经验谈)(精)/光明社科文库
- 庐山历代石刻研究/北冥鱼文库
- 毕业论文排版工具
- Ada PDF Writer
- Relox
- Free PDF Compressor
- Free JPG to PDF
- Weeny Free PDF to Text Converter
- Tipard Free PDF to Word Converter
- Clipboarder
- ClipClip
- Keyda
- 神枪手传奇 for Android V1.7 安卓手机版
- 无双大蛇2终极版全解锁人物真武座骑完美存档 免费版
- 怪物猎人物语2破灭之翼全武器装备特护石存档 免费版
- 武士喵 for Android v0.34 安卓手机版
- 泰坦防御 for Android v1.0 安卓手机版
- 怪物猎人崛起曙光怪物弱点显示图标MOD 免费版
- 怪物猎人崛起曙光单人任务可带4随从MOD 免费版
- 怪物猎人崛起曙光API修改框架工具REFramework v1.3.4 免费版
- 怪物猎人崛起曙光任务搜索不限时MOD(搜索任务解除时间限制) 免费版
- 对轰大师 for Android V0.0.5 安卓手机版
- 媚者无疆
- 护花高手在都市
- 驻院医生 第一季
- 棒棒的幸福生活
- 兵王
- 半妖皇帝
- 火王之破晓之战
- 我的大叔
- 继承者计划
- 时空侠