具體描述
軟件安全是一個不斷變化的主題,不僅不斷齣現新的漏洞類型,而且齣現瞭漏洞的各種變體.本書總結瞭目前最危險的24個安全漏洞,給齣瞭豐富的漏洞示例,並且提供瞭相應的修復措施。
● 各種Web應用程序漏洞及修復措施
● 各種實現漏洞及修復措施
● 各種加密漏洞及修復措施
● 各種聯網漏洞及修復措施
著者簡介
Michael Howard是Microsoft公司Trustworthy Computing(TwC)Group(可信賴計算組)下屬安全工程組的高級安全項目經理,負責管理整個公司的安全設計、編程和測試技術。Howard是一位Security Development Lifecycle(SDL)構建師,SDL是一個提高微軟軟件安全性的過程。
Howard於1992年開始在微軟公司工作,那時他在微軟公司的新西蘭分部,剛開始的前兩年在産品支持服務小組為Windows秈編譯器提供技術支持,接著為Microsoft ConsultingServices提供技術支持,在此階段,他為客戶提供安全基礎架構支持,並幫助設計定製的解決方案利軟件開發。1997年,Howard調到美國,為微軟的Web服務程序Internet Information Services的Windows分部工作,2000年開始擔任目前的下作。
Howard是IEEE Security&Privacy一書的編輯,經常在與安全相關的會議上:發言,定期發錶安全編碼和設計方麵的文章。Howard與他人一起編寫瞭6本安全圖書,包括獲奬書籍Writing Secure Code(第二版,Microsoft Press,2003年)、19 Deadly Sins of Software Security(McGraw-Hill Professional齣版社,2005年)、The Security Development Lifecycle(Microsoft Press,2006年),最近齣版的圖書Writing Secure Code for Windows Vista(Microsoft Press,2007年)。
David LeBlanc博士目前是Microsoft Office Trustworthy Computing工作組的一位主要軟件開發工程師,負責設計和實現Microsoft Office中的安全技術。他還給其他開發人員提供安全編程技術方麵的建議。自從1999年加入微軟公司以來,他一直負責操作網絡安全,還是可信賴主動計算(Trustworthy computing Initiative)的創始人之一。
David與他人閤著瞭獲奬書籍Writing Secure Code(第二版,Microsoft Press,2003年)、19 Deadly Sins of Software Security(McGraw-Hill Professional齣版社,2005年)、Writing SecureCode[orWindowsVista(MicrosoftPress,2007年),還發錶瞭許多文章。
John Viega是McAfee的SaaS Business Unit的CTO,是19 deadly programming flaws一書的作者,這本書引起瞭齣版社和媒體的極大關注。本書就是以該書為基礎的。他和其他人共同編寫瞭許多其他關於軟件安全的圖書,包括Building Secure Software(Addison-Wesley Press,2001年),Network Security with OpenSSL(O'Reilly Press,2002年),以及Myths of Security(O'Reilly Press,2009年)。他負責許多軟件安全工具,是Mailman(GNU郵件列錶管理器)的第一作者,他為IEEE和IETF中的標準化做瞭大量的工作,還與他人一起開發瞭GCM(NIST已標準化的一種加密算法)。John還是幾傢安全公司的安全顧問,包括Fortify和Bit9公司。他擁有Virginia大學的碩士和學士學位。
圖書目錄
第1章 SQL注入
1.1 漏洞概述
1.2 CWE參考
1.3 受影響的編程語言
1.4 漏洞詳述
1.4.1 關於LINQ的注意事項
1.4.2 受漏洞影響的C#
1.4.3 受漏洞影響的PHP
1.4.4 受漏洞影響的Perl/CGI
1.4.5 受漏洞影響的Python
1.4.6 受漏洞影響的Ruby on Rails
1.4.7 受漏洞影響的Java和JDBC
1.4.8 受漏洞影響的C/C++
1.4.9 受漏洞影響的SQL
1.4.10 相關漏洞
1.5 查找漏洞模式
1.6 在代碼審查期間查找該漏洞
1.7 發現該漏洞的測試技巧
1.8 漏洞示例
1.8.1 CVE-2006.4953
1.8.2 CVE-2006.4592
1.9 彌補措施
1.9.1 驗證所有的輸入
1.9.2 使用prepared語句構造SQL語句
1.9.3 C#彌補措施
1.9.4 PHP5.0以及MySQL1.1或者以後版本的彌補措施
1.9.5 Perl/CGI彌補措施
1.9.6 Python彌補措施
1.9.7 Ruby on Rails彌補措施
1.9.8 使用JDBC的Java彌補措施
1.9.9 ColdFusion彌補措施
1.9.10 SQL彌補措施
1.10 其他防禦措施
1.10.1 加密敏感數據、PII數據或機密數據
1.10.2 使用URL Scan
1.11 其他資源
1.12 本章小結
第2章 與Web服務器相關的漏洞(XSS、XSRF和響應拆分)
2.1 漏洞概述
2.2 CWE參考
2.3 受影響的編程語言
2.4 漏洞詳述
2.4.1 基於DOM的XSS或類型
2.4.2 反射XSS,非持續XSS或類型
……
第3章 與Web客戶端相關的漏洞(XSS)
第4章 使用Magic URL、可預計的cookie及隱藏錶單字段
第Ⅱ部分 實現漏洞
第5章 緩衝區溢齣
第6章 格式化字符串的問題
第7章 整數溢齣
第8章 C++災難
第9章 捕獲異常
第10章 命令注入
第11章 未能正確處理錯誤
第12章 信息泄漏
第13章 競態條件
第14章 不良可用性
第15章 不易更新
第16章 執行代碼的權限過大
第17章 未能完全地存儲數據
第18章 移動代碼的漏洞
第Ⅲ部分 加密漏洞
第19章 使用基於弱密碼的係統
第20章 弱隨機數
第21章 使用錯誤的密碼技術
第Ⅳ部分 隧網漏洞
第22章 未能保護好網絡通信
第23章 未能正確使用PKI,尤其是SSL
第24章 輕信網絡域名解析
· · · · · · (收起)
讀後感
評分
評分
評分
評分
用戶評價
簡單的列舉瞭一些攻擊 情況,當資料查閱的
评分很早之前讀的,早就不碰安全瞭
评分簡單的列舉瞭一些攻擊 情況,當資料查閱的
评分很早之前讀的,早就不碰安全瞭
评分很早之前讀的,早就不碰安全瞭
相關圖書
本站所有內容均為互聯網搜索引擎提供的公開搜索信息,本站不存儲任何數據與內容,任何內容與數據均與本站無關,如有需要請聯繫相關搜索引擎包括但不限於百度,google,bing,sogou 等
© 2025 book.quotespace.org All Rights Reserved. 小美書屋 版权所有