互联网
类型
7.9
豆瓣评分
可以朗读
语音朗读
153千字
字数
2016-01-01
发行日期
展开全部
主编推荐语
全方位介绍代码审计,涵盖大量工具和方法。
内容简介
本书共分为三个部分,第一部分为代码审计前的准备,详细介绍代码审计前需要了解的PHP核心配置文件、PHP环境搭建的方法、代码审计需要的工具,以及这些工具的详细使用方法。第二部分着重介绍PHP代码审计的中漏洞挖掘思路与防范方法,包括代码审计的思路、常见漏洞的审计方法、二次漏洞的挖掘方法、代码审计过程中的一些常用技巧。第三部分主要介绍PHP安全编程规范,从攻击者的角度来告诉你应该怎么写出更安全的代码,包括参数的安全过滤、PHP中常用的加密算法、常见功能通常会出现的安全问题、企业的应用安全体系建设等。
目录
- 版权信息
- 序言
- 前言
- 导读
- 第一部分 代码审计前的准备
- 第1章 代码审计环境搭建
- 1.1 wamp/wnmp环境搭建
- 1.2 lamp/lnmp环境搭建
- 1.3 PHP核心配置详解
- 第2章 审计辅助与漏洞验证工具
- 2.1 代码编辑器
- 2.1.1 Notepad++
- 2.1.2 UltraEdit
- 2.1.3 Zend Studio
- 2.2 代码审计工具
- 2.2.1 Seay源代码审计系统
- 2.2.2 Fortify SCA
- 2.2.3 RIPS
- 2.3 漏洞验证辅助
- 2.3.1 Burp Suite
- 2.3.2 浏览器扩展
- 2.3.3 编码转换及加解密工具
- 2.3.4 正则调试工具
- 2.3.5 SQL执行监控工具
- 第二部分 漏洞发现与防范
- 第3章 通用代码审计思路
- 3.1 敏感函数回溯参数过程
- 3.2 通读全文代码
- 3.3 根据功能点定向审计
- 第4章 漏洞挖掘与防范(基础篇)
- 4.1 SQL注入漏洞
- 4.1.1 挖掘经验
- 4.1.2 漏洞防范
- 4.2 XSS漏洞
- 4.2.1 挖掘经验
- 4.2.2 漏洞防范
- 4.3 CSRF漏洞
- 4.3.1 挖掘经验
- Discuz CSRF备份拖库分析
- 4.3.2 漏洞防范
- 第5章 漏洞挖掘与防范(进阶篇)
- 5.1 文件操作漏洞
- 5.1.1 文件包含漏洞
- 5.1.2 文件读取(下载)漏洞
- 5.1.3 文件上传漏洞
- 5.1.4 文件删除漏洞
- 5.1.5 文件操作漏洞防范
- 5.2 代码执行漏洞
- 5.2.1 挖掘经验
- 5.2.2 漏洞防范
- 5.3 命令执行漏洞
- 5.3.1 挖掘经验
- 5.3.2 漏洞防范
- 第6章 漏洞挖掘与防范(深入篇)
- 6.1 变量覆盖漏洞
- 6.1.1 挖掘经验
- 6.1.2 漏洞防范
- 6.2 逻辑处理漏洞
- 6.2.1 挖掘经验
- 6.2.2 漏洞防范
- 6.3 会话认证漏洞
- 6.3.1 挖掘经验
- 6.3.2 漏洞防范
- 第7章 二次漏洞审计
- 7.1 什么是二次漏洞
- 7.2 二次漏洞审计技巧
- 7.3 dedecms二次注入漏洞分析
- 第8章 代码审计小技巧
- 8.1 钻GPC等转义的空子
- 8.1.1 不受GPC保护的$_SERVER变量
- 8.1.2 编码转换问题
- 8.2 神奇的字符串
- 8.2.1 字符处理函数报错信息泄露
- 8.2.2 字符串截断
- 8.3 php://输入输出流
- 8.4 PHP代码解析标签
- 8.5 fuzz漏洞发现
- 8.6 不严谨的正则表达式
- 8.7 十余种MySQL报错注入
- 8.8 Windows FindFirstFile利用
- 8.9 PHP可变变量
- 第三部分 PHP安全编程规范
- 第9章 参数的安全过滤
- 9.1 第三方过滤函数与类
- 9.1.1 discuz SQL安全过滤类分析
- 9.1.2 discuz XSS标签过滤函数分析
- 9.2 内置过滤函数
- 第10章 使用安全的加密算法
- 10.1 对称加密
- 10.1.1 3DES加密
- 10.1.2 AES加密
- 10.2 非对称加密
- RSA加密
- 10.3 单向加密
- MD5/sha1加密
- 第11章 业务功能安全设计
- 11.1 验证码
- 11.1.1 验证码绕过
- 11.1.2 验证码资源滥用
- 11.2 用户登录
- 11.2.1 撞库漏洞
- 11.2.2 API登录
- 11.3 用户注册
- 11.4 密码找回
- 11.5 资料查看与修改
- 11.6 投票/积分/抽奖
- 11.7 充值支付
- 11.8 私信及反馈
- 11.9 远程地址访问
- 11.10 文件管理
- 11.11 数据库管理
- 11.12 命令/代码执行
- 11.13 文件/数据库备份
- 11.14 API
- 第12章 应用安全体系建设
- 12.1 用户密码安全策略
- 12.2 前后台用户分表
- 12.3 后台地址隐藏
- 12.4 密码加密存储方式
- 12.5 登录限制
- 12.6 API站库分离
- 12.7 慎用第三方服务
- 12.8 严格的权限控制
- 12.9 敏感操作多因素验证
- 12.10 应用自身的安全中心
- 参考资源
展开全部
出版方
机械工业出版社有限公司
机械工业出版社是全国优秀出版社,自1952年成立以来,坚持为科技、为教育服务,以向行业、向学校提供优质、权威的精神产品为宗旨,以“服务社会和人民群众需求,传播社会主义先进文化”为己任,产业结构不断完善,已由传统的图书出版向着图书、期刊、电子出版物、音像制品、电子商务一体化延伸,现已发展为多领域、多学科的大型综合性出版社,涉及机械、电工电子、汽车、计算机、经济管理、建筑、ELT、科普以及教材、教辅等领域。