具体描述
软件安全是一个不断变化的主题,不仅不断出现新的漏洞类型,而且出现了漏洞的各种变体.本书总结了目前最危险的24个安全漏洞,给出了丰富的漏洞示例,并且提供了相应的修复措施。
● 各种Web应用程序漏洞及修复措施
● 各种实现漏洞及修复措施
● 各种加密漏洞及修复措施
● 各种联网漏洞及修复措施
作者简介
Michael Howard是Microsoft公司Trustworthy Computing(TwC)Group(可信赖计算组)下属安全工程组的高级安全项目经理,负责管理整个公司的安全设计、编程和测试技术。Howard是一位Security Development Lifecycle(SDL)构建师,SDL是一个提高微软软件安全性的过程。
Howard于1992年开始在微软公司工作,那时他在微软公司的新西兰分部,刚开始的前两年在产品支持服务小组为Windows籼编译器提供技术支持,接着为Microsoft ConsultingServices提供技术支持,在此阶段,他为客户提供安全基础架构支持,并帮助设计定制的解决方案利软件开发。1997年,Howard调到美国,为微软的Web服务程序Internet Information Services的Windows分部工作,2000年开始担任目前的下作。
Howard是IEEE Security&Privacy一书的编辑,经常在与安全相关的会议上:发言,定期发表安全编码和设计方面的文章。Howard与他人一起编写了6本安全图书,包括获奖书籍Writing Secure Code(第二版,Microsoft Press,2003年)、19 Deadly Sins of Software Security(McGraw-Hill Professional出版社,2005年)、The Security Development Lifecycle(Microsoft Press,2006年),最近出版的图书Writing Secure Code for Windows Vista(Microsoft Press,2007年)。
David LeBlanc博士目前是Microsoft Office Trustworthy Computing工作组的一位主要软件开发工程师,负责设计和实现Microsoft Office中的安全技术。他还给其他开发人员提供安全编程技术方面的建议。自从1999年加入微软公司以来,他一直负责操作网络安全,还是可信赖主动计算(Trustworthy computing Initiative)的创始人之一。
David与他人合著了获奖书籍Writing Secure Code(第二版,Microsoft Press,2003年)、19 Deadly Sins of Software Security(McGraw-Hill Professional出版社,2005年)、Writing SecureCode[orWindowsVista(MicrosoftPress,2007年),还发表了许多文章。
John Viega是McAfee的SaaS Business Unit的CTO,是19 deadly programming flaws一书的作者,这本书引起了出版社和媒体的极大关注。本书就是以该书为基础的。他和其他人共同编写了许多其他关于软件安全的图书,包括Building Secure Software(Addison-Wesley Press,2001年),Network Security with OpenSSL(O'Reilly Press,2002年),以及Myths of Security(O'Reilly Press,2009年)。他负责许多软件安全工具,是Mailman(GNU邮件列表管理器)的第一作者,他为IEEE和IETF中的标准化做了大量的工作,还与他人一起开发了GCM(NIST已标准化的一种加密算法)。John还是几家安全公司的安全顾问,包括Fortify和Bit9公司。他拥有Virginia大学的硕士和学士学位。
目录信息
第1章 SQL注入
1.1 漏洞概述
1.2 CWE参考
1.3 受影响的编程语言
1.4 漏洞详述
1.4.1 关于LINQ的注意事项
1.4.2 受漏洞影响的C#
1.4.3 受漏洞影响的PHP
1.4.4 受漏洞影响的Perl/CGI
1.4.5 受漏洞影响的Python
1.4.6 受漏洞影响的Ruby on Rails
1.4.7 受漏洞影响的Java和JDBC
1.4.8 受漏洞影响的C/C++
1.4.9 受漏洞影响的SQL
1.4.10 相关漏洞
1.5 查找漏洞模式
1.6 在代码审查期间查找该漏洞
1.7 发现该漏洞的测试技巧
1.8 漏洞示例
1.8.1 CVE-2006.4953
1.8.2 CVE-2006.4592
1.9 弥补措施
1.9.1 验证所有的输入
1.9.2 使用prepared语句构造SQL语句
1.9.3 C#弥补措施
1.9.4 PHP5.0以及MySQL1.1或者以后版本的弥补措施
1.9.5 Perl/CGI弥补措施
1.9.6 Python弥补措施
1.9.7 Ruby on Rails弥补措施
1.9.8 使用JDBC的Java弥补措施
1.9.9 ColdFusion弥补措施
1.9.10 SQL弥补措施
1.10 其他防御措施
1.10.1 加密敏感数据、PII数据或机密数据
1.10.2 使用URL Scan
1.11 其他资源
1.12 本章小结
第2章 与Web服务器相关的漏洞(XSS、XSRF和响应拆分)
2.1 漏洞概述
2.2 CWE参考
2.3 受影响的编程语言
2.4 漏洞详述
2.4.1 基于DOM的XSS或类型
2.4.2 反射XSS,非持续XSS或类型
……
第3章 与Web客户端相关的漏洞(XSS)
第4章 使用Magic URL、可预计的cookie及隐藏表单字段
第Ⅱ部分 实现漏洞
第5章 缓冲区溢出
第6章 格式化字符串的问题
第7章 整数溢出
第8章 C++灾难
第9章 捕获异常
第10章 命令注入
第11章 未能正确处理错误
第12章 信息泄漏
第13章 竞态条件
第14章 不良可用性
第15章 不易更新
第16章 执行代码的权限过大
第17章 未能完全地存储数据
第18章 移动代码的漏洞
第Ⅲ部分 加密漏洞
第19章 使用基于弱密码的系统
第20章 弱随机数
第21章 使用错误的密码技术
第Ⅳ部分 隧网漏洞
第22章 未能保护好网络通信
第23章 未能正确使用PKI,尤其是SSL
第24章 轻信网络域名解析
· · · · · · (收起)
读后感
评分
评分
评分
评分
用户评价
很早之前读的,早就不碰安全了
评分简单的列举了一些攻击 情况,当资料查阅的
评分很早之前读的,早就不碰安全了
评分很早之前读的,早就不碰安全了
评分简单的列举了一些攻击 情况,当资料查阅的
相关图书
本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度,google,bing,sogou 等
© 2025 book.quotespace.org All Rights Reserved. 小美书屋 版权所有