具體描述
常被利用的軟件漏洞通常都由本可避免的軟件缺陷造成。通過對1988年以來幾萬份漏洞報告的分析。cert確定瞭引起絕大多數漏洞的少數原因。《c和c++安全編碼(英文版第2版)》識彆並解釋瞭這些原因,展示瞭可以采取哪些措施來防止它們被利用。此外,《c和c++安全編碼(英文版.第2版)》鼓勵程序員采用安全的最佳實踐,培養安全的理念,以保護軟件不僅免受現在的攻擊,也免受未來的攻擊。根據cert的報告和結論,robert cseacord(西科德)係統地識彆瞭最有可能導緻安全漏洞的程序錯誤,顯示瞭它們被利用的方式,考察瞭其潛在的後果,並提齣瞭安全的替代方案。
本書主要內容
提高任何c或c++應用程序的整體安全性
阻止利用不安全的字符串操作邏輯進行緩衝區溢齣、棧溢齣以及麵嚮返迴值的編程攻擊
避免因不正確使用動態內存管理函數而導緻的漏洞和安全缺陷
消除因有符號整數溢齣、無符號整數迴繞和截斷誤差而導緻的整數相關問題
執行安全的i/0操作,避免文件係統漏洞
正確使用格式化輸齣函數,避免引入格式字符串漏洞
在開發並發代碼時,避免競爭條件和其他可利用的漏洞
第2版特色
針對c11和c++11進行瞭更新
對字符串(第2章)、動態內存管理(第4章)、整數安全(第5章)等內容做瞭重大修改
增加瞭一章“並發”(第7章)
增加瞭可以通過卡內基—梅隆大學的開放式學習計劃(oll)訪問的在綫安全編碼課程
本書介紹瞭數以百計windows和linux上的例子,包括安全的代碼、不安全的代碼和利用方法。如果你負責創建安全的c或c++軟件,或者需要保證它們的安全,本書將為您提供詳盡的專傢級援助。
著者簡介
robert c.seacord目前是卡內基-梅隆大學軟件工程研究所(sei)cert計劃的安全編碼技術經理。他是五本書的作者或閤著者,包括《cert c安全編碼標準》(addison—wesley,2009),他還是係列視頻培訓課程“專業c編程在綫課程,第1部分:編寫健壯、安全、可靠的代碼”(addison—wesley,2013)的作者和講師。
圖書目錄
foreword
preface
acknowledgments
about the author
chapter 1 runnin9 with scissors
1.1 gauging the threht
1.2 security concepts
1.3 c and c++
1.4 development platforms
1.5 summary
1.6 further reading
chapter 2 strings
2.1 character strings
2.2 common string manipulation errors
2.3 string vulnerabilities and exploits
2.4 mitigation strategies for strings
2.5 string-handling functions
2.6 runtime protection strategies
2.7 notable vulnerabilities
.2.8 summary
2.9 further reading
chapter 3 pointer subterfuge
3.1 data locations
3.2 function pointers
3.3 object pointers
3.4 modifying the instruction pointer
3.5 global offset table
3.6 the .dtovs section
3.7 virtual pointers
3.8 the atexit() and on_exit() functions
3.9 the longjmp() function
3.10 exception handling
3.11 mitigation strategies
3.12 summary
3.13 further reading
chapter 4 dynamic memory management
4.1 c memory management
4.2 common c memory management errors
4.3 c++ dynamic memory management
4.4 common c++ memory management errors
4.5 memory managers
4.6 doug lea's memory allocator
4.7 double-free vulnerabilities
4.8 mitigation strategies
4.9 notable vulnerabilities
4.10 summary
chapter 5 integer security
5.1 introduction to integer security
5.2 integer data types
5.3 integer conversions
5.4 integer operations
5.5 integer vulnerabilities
5.6 mitigation strategies
5.7 summary
chapter 6 formatted output
6.1 variadic functions
6.2 formatted output functions
6.3 exploiting formatted output functions
6.4 stack randomization
6.5 mitigation strategies
6.6 notable vulnerabilities
6.7 summary
6.8 further reading
chttpter 7 concurrency
7.1 muhithreading
7.2 parallelism
7.3 performance goals
7.4 common errors
7.5 mitigation strategies
7.6 mitigation pitfalls
7.7 notable vulnerabilities
7.8 summary
chopter 8 file i/0
8.1 file i/0 basics
8.2 file i/o interfaces
8.3 access control
8.4 file identification
8.5 race conditions
8.6 mitigation strategies
8.7 summary
chapter 9 recommended practices
9.1 the security development lifecycle
9.2 security training
9.3 requirements
9.4 design
9.5 implementation
9.6 verification
9.7 summary
9.8 further reading
references
acronyms
index
· · · · · · (收起)
讀後感
书很好,翻译很垃圾,垃圾到我特意来评论。举例:在软件安全领域,一个值称作被污染的,如果他的来源是不受信任的(程序的控制之外),并且没有背景画,以确保它符合该值的使用者要求的任何约束,例如,所有的字符串都要求是空字符结尾的约束。一字不差,你翻译的是个屁。推荐...
評分书很好,翻译很垃圾,垃圾到我特意来评论。举例:在软件安全领域,一个值称作被污染的,如果他的来源是不受信任的(程序的控制之外),并且没有背景画,以确保它符合该值的使用者要求的任何约束,例如,所有的字符串都要求是空字符结尾的约束。一字不差,你翻译的是个屁。推荐...
評分看到有友人评论这本书卖得太贵,忍不住说几句。这本书作者是CERT专门负责分析漏洞的研究人员,书里面很清晰的整理了各类软件漏洞成因,给的例子非常的合适,应该是一看就能看懂,但是又不失深度。如果把里面的基本内容都烂熟于心,基本上可以去开始CTF或者初级漏洞挖掘了。 再...
評分看到有友人评论这本书卖得太贵,忍不住说几句。这本书作者是CERT专门负责分析漏洞的研究人员,书里面很清晰的整理了各类软件漏洞成因,给的例子非常的合适,应该是一看就能看懂,但是又不失深度。如果把里面的基本内容都烂熟于心,基本上可以去开始CTF或者初级漏洞挖掘了。 再...
評分看到有友人评论这本书卖得太贵,忍不住说几句。这本书作者是CERT专门负责分析漏洞的研究人员,书里面很清晰的整理了各类软件漏洞成因,给的例子非常的合适,应该是一看就能看懂,但是又不失深度。如果把里面的基本内容都烂熟于心,基本上可以去开始CTF或者初级漏洞挖掘了。 再...
用戶評價
相關圖書
本站所有內容均為互聯網搜索引擎提供的公開搜索信息,本站不存儲任何數據與內容,任何內容與數據均與本站無關,如有需要請聯繫相關搜索引擎包括但不限於百度,google,bing,sogou 等
© 2025 book.quotespace.org All Rights Reserved. 小美書屋 版权所有