源代碼安全審計基礎——注冊網絡安全源代碼審計專業(yè)人員(NSATP-SCA)培訓認證教材
定 價:120 元
- 作者:霍珊珊等
- 出版時間:2023/2/1
- ISBN:9787121449710
- 出 版 社:電子工業(yè)出版社
- 中圖法分類:TP311.52
- 頁碼:
- 紙張:
- 版次:
- 開本:
本書內容是注冊網絡安全源代碼審計專業(yè)人員(NSATP-SCA)認證培訓的理論知識部分,對代碼審計的基礎知識和涉及的內容、代碼安全審計規(guī)范和審計指標進行了全面的介紹,同時,針對目前常用的程序設計語言Java、C/C++和C#,分別基于其特點和漏洞測試規(guī)范中的案例進行了具體的分析和解讀。本書參考了大量國內外代碼安全審計規(guī)范、安全開發(fā)規(guī)范、常見漏洞庫和相關文獻,并進行了解析、匯總和提取,以系統(tǒng)地闡述代碼審計的思想、技術和方法,構建完備的代碼審計知識體系,旨在為代碼審計人員提供全面和系統(tǒng)的指導。
本書作者牽頭《GB/T 36958-2018 信息安全技術 網絡安全等級保護安全管理中心技術要求》,參與《GB/T 22239-2019 信息安全技術 網絡安全等級保護基本要求》等10余項國家標準和行業(yè)標準的制定,作為項目負責人完成了《信息技術安全通用評價機制和關鍵技術研究》、《產品和服務網絡安全審查指標體系建設和評價方法研究》等國家重點研發(fā)計劃課題項目,發(fā)表了《網絡安全測評領域能力驗證的設計方法和關鍵技術研究》等多篇期刊論文。
目 錄
第1篇 代碼審計基礎
第1章 代碼安全現(xiàn)狀2
1.1 典型漏洞代碼案例分析2
1.2 代碼審計的基本思想5
1.3 代碼審計的現(xiàn)狀5
第2章 代碼審計概述7
2.1 代碼審計的概念7
2.2 代碼審計對象7
2.3 代碼審計的目的7
2.4 代碼審計的原則7
2.5 代碼審計要素8
2.6 代碼審計的內容9
2.6.1 認證管理9
2.6.2 授權管理11
2.6.3 輸入/輸出驗證11
2.6.4 密碼管理12
2.6.5 調試和接口12
2.6.6 會話管理13
2.7 代碼審計的成果13
2.8 代碼審計的價值與意義14
2.9 代碼審計的發(fā)展趨勢14
第3章 代碼審計與漏洞驗證相關工具15
3.1 常用代碼編輯器15
3.2 常用代碼審計工具18
3.3 常用漏洞驗證工具23
第4章 代碼審計方法28
4.1 自上而下28
4.1.1 通讀代碼的技巧28
4.1.2 應用案例30
4.2 自下而上39
4.3 利用功能點定向審計42
4.4 優(yōu)先審計框架安全44
4.5 邏輯覆蓋45
4.5.1 白盒測試45
4.5.2 邏輯覆蓋法47
4.6 代碼審計方法綜合應用示例54
第5章 代碼審計技術56
5.1 詞法分析56
5.2 語法分析59
5.3 基于抽象語法樹的語義分析59
5.4 控制流分析63
5.5 數(shù)據(jù)流分析65
5.6 規(guī)則檢查分析66
小結67
參考資料68
第2篇 代碼審計規(guī)范
第6章 代碼審計規(guī)范解讀72
6.1 代碼審計說明72
6.2 常用術語72
6.3 代碼審計的時機73
6.4 代碼審計方法73
6.5 代碼審計流程74
6.6 代碼審計報告76
第7章 代碼審計指標78
7.1 安全功能缺陷審計指標78
7.1.1 數(shù)據(jù)清洗78
7.1.2 數(shù)據(jù)加密與保護86
7.1.3 訪問控制88
7.1.4 日志安全92
7.2 代碼實現(xiàn)缺陷審計指標92
7.2.1 面向對象程序安全92
7.2.2 并發(fā)程序安全95
7.2.3 函數(shù)調用安全97
7.2.4 異常處理安全100
7.2.5 指針安全101
7.2.6 代碼生成安全103
7.3 資源使用缺陷審計指標103
7.3.1 資源管理103
7.3.2 內存管理106
7.3.3 數(shù)據(jù)庫使用110
7.3.4 文件管理110
7.3.5 網絡傳輸111
7.4 環(huán)境安全缺陷審計指標113
小結113
參考資料114
第3篇 代碼安全審計參考規(guī)范
第8章 國際代碼安全開發(fā)參考規(guī)范116
8.1 CVE116
8.1.1 CVE概述116
8.1.2 CVE的產生背景116
8.1.3 CVE的特點116
8.1.4 CVE條目舉例117
8.2 OWASP118
8.2.1 OWASP概述118
8.2.2 OWASP Top 10118
8.2.3 OWASP安全測試指導方案139
8.2.4 OWASP安全計劃指導方案140
8.2.5 OWASP應用程序管理方案141
8.3 CWE143
第9章 國內源代碼漏洞測試規(guī)范165
9.1 軟件測試165
9.2 《Java語言源代碼漏洞測試規(guī)范》解讀171
9.2.1 適用范圍171
9.2.2 術語和定義171
9.2.3 Java源代碼漏洞測試總則174
9.2.4 Java源代碼漏洞測試工具178
9.2.5 Java源代碼漏洞測試文檔179
9.2.6 Java源代碼漏洞測試內容183
9.3 《C/C++語言源代碼漏洞測試規(guī)范》解讀229
9.3.1 適用范圍230
9.3.2 術語和定義230
9.3.3 C/C++源代碼漏洞測試總則232
9.3.4 C/C++源代碼漏洞測試工具236
9.3.5 C/C++源代碼漏洞測試文檔236
9.3.6 C/C++源代碼漏洞測試內容236
9.4 《C#語言源代碼漏洞測試規(guī)范》解讀272
9.4.1 適用范圍273
9.4.2 術語和定義273
9.4.3 C#源代碼漏洞測試總則276
9.4.4 C#源代碼漏洞測試工具279
9.4.5 C#源代碼漏洞測試文檔280
9.4.6 C#源代碼漏洞測試內容280
小結329
參考資料330
第4篇 實際開發(fā)中的常見漏洞分析
第10章 實際開發(fā)中常見的Java源代碼漏洞分析334
10.1 SQL注入334
10.2 跨站腳本攻擊341
10.3 命令注入347
10.4 密碼硬編碼351
10.5 隱私泄露353
10.6 Header Manipulation356
10.7 日志偽造358
10.8 單例成員字段361
第11章 實際開發(fā)中常見的C/C++源代碼漏洞分析364
11.1 二次釋放364
11.2 錯誤的內存釋放對象366
11.3 返回棧地址367
11.4 返回值未初始化369
11.5 內存泄漏370
11.6 資源未釋放371
11.7 函數(shù)地址使用不當372
11.8 解引用未初始化的指針374
小結375
參考資料375
英文縮略語377