计算机
类型
可以朗读
语音朗读
251千字
字数
2021-08-01
发行日期
展开全部
主编推荐语
Java代码审计初学者指南,系统介绍Java代码安全审计入门技术。
内容简介
本书由浅入深、系统地介绍了Java代码审计的流程、Java Web漏洞产生的原理以及实战讲解,并力求语言通俗易懂、举例简单明了,便于读者阅读领会。同时结合具体案例进行讲解,可以让读者身临其境,快速了解和掌握主流的Java代码安全审计技巧。
目录
- 版权信息
- 内容提要
- 本书对Java代码研发人员的意义
- 推荐序1
- 推荐序2
- 推荐序3
- 推荐序4
- 推荐序5
- 作者简介
- 前言
- 本书特点
- 本书结构
- 关于下一本书
- 特别声明
- 读者服务
- 致谢
- 资源与支持
- 第1章 初识Java代码审计
- 1.1 代码审计的意义
- 1.2 Java代码审计所需的基础能力
- 1.3 代码审计的常用思路
- 第2章 代码审计环境搭建
- 2.1 JDK的下载与安装
- 2.2 Docker容器编排
- 2.3 远程调试
- 2.4 项目构建工具
- 第3章 代码审计辅助工具简介
- 3.1 代码编辑器
- 3.2 测试工具
- 3.3 反编译工具
- 3.4 Java代码静态扫描工具
- 3.5 公开漏洞查找平台
- 3.6 小结
- 第4章 Java EE基础知识
- 4.1 Java EE分层模型
- 4.2 了解MVC模式与MVC框架
- 4.3 Java Web的核心技术
- 4.4 Java Web过滤器
- 4.5 Java反射机制
- 4.6 ClassLoader类加载机制
- 4.7 Java动态代理
- 4.8 Javassist动态编程
- 4.9 可用于Java Web的安全开发框架
- 第5章 “OWASP Top 10 2017”漏洞的代码审计
- 5.1 注入
- 5.2 失效的身份认证
- 5.3 敏感信息泄露
- 5.4 XML外部实体注入(XXE)
- 5.5 失效的访问控制
- 5.6 安全配置错误
- 5.7 跨站脚本(XSS)
- 5.8 不安全的反序列化
- 5.9 使用含有已知漏洞的组件
- 5.10 不足的日志记录和监控
- 第6章 “OWASP Top 10 2017”之外常见漏洞的代码审计
- 6.1 CSRF
- 6.2 SSRF
- 6.3 URL跳转
- 6.4 文件操作漏洞
- 6.5 Web后门漏洞
- 6.6 逻辑漏洞
- 6.7 前端配置不当漏洞
- 6.8 拒绝服务攻击漏洞
- 6.9 点击劫持漏洞
- 6.10 HTTP参数污染漏洞
- 第7章 Java EE开发框架安全审计
- 7.1 开发框架审计技巧简介
- 7.2 开发框架使用不当范例(Struts2远程代码执行)
- 第8章 Jspxcms代码审计实战
- 8.1 Jspxcms简介
- 8.2 Jspxcms的安装
- 8.3 目录结构及功能说明
- 8.4 第三方组件漏洞审计
- 8.5 单点漏洞审计
- 8.6 本章总结
- 第9章 小话IAST与RASP
- 9.1 IAST简介
- 9.2 RASP简介
- 9.3 单机版OpenRASP Agent实验探究
- 9.4 OpenRASP Java Agent原理浅析
- 9.5 本章总结
- 附录 Java安全编码规范索引
展开全部
评分及书评
评分不足
2个评分
- 给这本书评了5.0
本书由浅入深、全面、系统地介绍了 Java 代码审计的流程、Java Web 漏洞产生的原理以及实战讲解,并力求语言通俗易懂、举例简单明了,便于读者阅读领会。同时结合具体案例进行讲解,可以让读者身临其境,快速了解和掌握主流的 Java 代码安全审计技巧。
给这本书评了5.0业内第一本填补Java代码审计领域空白的入门书籍这是一本能帮助白帽子黑阔,较为系统地补齐 Java 安全基础知识的入门必读经典,P 牛站台作序。脚本小子进阶白盒大佬居家必备。比较遗憾的是,囿于本书入门篇定位,当下热门的回显链、内存马、脚本引擎免杀等高端操作并未涉及,敲碗等进阶篇。
出版方
人民邮电出版社
人民邮电出版社是工业和信息化部主管的大型专业出版社,成立于1953年10月1日。人民邮电出版社坚持“立足信息产业、面向现代社会、传播科学知识、服务科教兴国”,致力于通信、计算机、电子技术、教材、少儿、经管、摄影、集邮、旅游、心理学等领域的专业图书出版。
