套用軟體安全代碼審查指南

作譯者：OWASP基金會

出版時間：2018-10千 字 數：314版次：01-01頁 數：264

開本：16開裝幀：I S B N ：9787121352201

換版：

紙質書定價：￥59.0

本書分為兩大部分，共15章。第一部分包含第1～4章，介紹了安全代碼審查的作用和方法，以及在軟體安全開發生命周期（S-SDLC）代碼審查過程中查找安全漏洞的方法。第二部分包含第5～15章，介紹2013年版《OWASP Top 10》中提出的安全風險的處理方法和技術，以及其他漏洞處理的方法和技術。本書適合軟體研發組織機構的高層管理人員、專業技術負責人、開發人員、測試人員和軟體安全人員，以及高等院校軟體工程、網路安全專業的師生等閱讀學習。

第1章 如何使用《套用軟體安全代碼審查指南》 1

第2章 安全代碼審查 4

2.1 為什麼代碼有漏洞 5

2.2 代碼審查和安全代碼審查之間的區別是什麼 6

2.3 什麼是安全代碼審查 6

2.4 確定安全代碼審查的範圍 7

2.5 我們不能破解自己的安全性 9

2.6 安全代碼審查和滲透測試耦合 11

2.7 安全代碼審查對開發實踐的好處 13

2.8 安全代碼審查的技術 15

2.9 安全代碼審查與合規性 15

第3章 安全代碼審查的方法論 18

3.1 制定安全代碼審查流程時需要考慮的因素 19

3.1.1 風險 19

3.1.2 目的與背景 19

3.1.3 代碼行數 19

3.1.4 程式語言 20

3.1.5 資源、時間和期限 20

3.2 在S-SDLC中集成安全代碼審查 20

3.3 何時進行安全代碼審查 21

3.4 敏捷和瀑布開發中的安全代碼審查 23

3.5 基於風險的安全代碼審查方法 23

3.6 安全代碼審查準備 26

3.7 安全代碼審查發現和信息收集 28

3.8 靜態代碼分析 30

3.9 套用威脅建模 34

3.10 度量指標和安全代碼審查 42

3.11 代碼爬行 45

第4章 安全代碼審查注意事項 47

第5章 A1注入攻擊 49

5.1 概述 50

5.2 概覽 50

5.3 SQL盲注 51

5.3.1 SQL查詢參數化 51

5.3.2 安全的字元串拼接 52

5.3.3 運用靈活的參數化語句 53

5.3.4 PHP SQL注入 54

5.3.5 Java SQL注入 55

5.3.6 .NET SQL注入 55

5.3.7 參數集合 56

5.4 要點回顧 57

5.5 OWASP參考資料 57

5.6 其他參考資料 58

第6章 A2失效的身份認證和會話管理 59

6.1 失效的身份認證 60

6.1.1 概述 60

6.1.2 概覽 60

6.1.3 如何審查 60

6.1.4 參考資料 62

6.1.5 被遺忘的密碼 62

6.1.6 驗證碼 64

6.1.7 帶外通信 66

6.2 A2會話管理 68

6.2.1 概述 68

6.2.2 概覽 68

6.2.3 審查的內容 69

6.2.4 會話逾時 70

6.2.5 會話註銷和結束 71

6.2.6 會話管理的伺服器端防禦 72

第7章 A3跨站腳本攻擊（XSS） 74

7.1 什麼是跨站腳本攻擊（XSS） 75

7.2 概覽 75

7.3 如何審查 75

7.3.1 安全代碼審查需要詳盡 75

7.3.2 工具介紹 76

7.4 OWASP參考資料 77

7.5 其他參考資料 77