科技 类型
7.9 豆瓣评分
可以朗读 语音朗读
153千字 字数
2016-01-01 发行日期
展开全部

主编推荐语

全方位介绍代码审计,涵盖大量工具和方法。

内容简介

本书共分为三个部分,第一部分为代码审计前的准备,详细介绍代码审计前需要了解的PHP核心配置文件、PHP环境搭建的方法、代码审计需要的工具,以及这些工具的详细使用方法。第二部分着重介绍PHP代码审计的中漏洞挖掘思路与防范方法,包括代码审计的思路、常见漏洞的审计方法、二次漏洞的挖掘方法、代码审计过程中的一些常用技巧。第三部分主要介绍PHP安全编程规范,从攻击者的角度来告诉你应该怎么写出更安全的代码,包括参数的安全过滤、PHP中常用的加密算法、常见功能通常会出现的安全问题、企业的应用安全体系建设等。

目录

  • 版权信息
  • 序言
  • 前言
  • 导读
  • 第一部分 代码审计前的准备
  • 第1章 代码审计环境搭建
  • 1.1 wamp/wnmp环境搭建
  • 1.2 lamp/lnmp环境搭建
  • 1.3 PHP核心配置详解
  • 第2章 审计辅助与漏洞验证工具
  • 2.1 代码编辑器
  • 2.1.1 Notepad++
  • 2.1.2 UltraEdit
  • 2.1.3 Zend Studio
  • 2.2 代码审计工具
  • 2.2.1 Seay源代码审计系统
  • 2.2.2 Fortify SCA
  • 2.2.3 RIPS
  • 2.3 漏洞验证辅助
  • 2.3.1 Burp Suite
  • 2.3.2 浏览器扩展
  • 2.3.3 编码转换及加解密工具
  • 2.3.4 正则调试工具
  • 2.3.5 SQL执行监控工具
  • 第二部分 漏洞发现与防范
  • 第3章 通用代码审计思路
  • 3.1 敏感函数回溯参数过程
  • 3.2 通读全文代码
  • 3.3 根据功能点定向审计
  • 第4章 漏洞挖掘与防范(基础篇)
  • 4.1 SQL注入漏洞
  • 4.1.1 挖掘经验
  • 4.1.2 漏洞防范
  • 4.2 XSS漏洞
  • 4.2.1 挖掘经验
  • 4.2.2 漏洞防范
  • 4.3 CSRF漏洞
  • 4.3.1 挖掘经验
  • Discuz CSRF备份拖库分析
  • 4.3.2 漏洞防范
  • 第5章 漏洞挖掘与防范(进阶篇)
  • 5.1 文件操作漏洞
  • 5.1.1 文件包含漏洞
  • 5.1.2 文件读取(下载)漏洞
  • 5.1.3 文件上传漏洞
  • 5.1.4 文件删除漏洞
  • 5.1.5 文件操作漏洞防范
  • 5.2 代码执行漏洞
  • 5.2.1 挖掘经验
  • 5.2.2 漏洞防范
  • 5.3 命令执行漏洞
  • 5.3.1 挖掘经验
  • 5.3.2 漏洞防范
  • 第6章 漏洞挖掘与防范(深入篇)
  • 6.1 变量覆盖漏洞
  • 6.1.1 挖掘经验
  • 6.1.2 漏洞防范
  • 6.2 逻辑处理漏洞
  • 6.2.1 挖掘经验
  • 6.2.2 漏洞防范
  • 6.3 会话认证漏洞
  • 6.3.1 挖掘经验
  • 6.3.2 漏洞防范
  • 第7章 二次漏洞审计
  • 7.1 什么是二次漏洞
  • 7.2 二次漏洞审计技巧
  • 7.3 dedecms二次注入漏洞分析
  • 第8章 代码审计小技巧
  • 8.1 钻GPC等转义的空子
  • 8.1.1 不受GPC保护的$_SERVER变量
  • 8.1.2 编码转换问题
  • 8.2 神奇的字符串
  • 8.2.1 字符处理函数报错信息泄露
  • 8.2.2 字符串截断
  • 8.3 php://输入输出流
  • 8.4 PHP代码解析标签
  • 8.5 fuzz漏洞发现
  • 8.6 不严谨的正则表达式
  • 8.7 十余种MySQL报错注入
  • 8.8 Windows FindFirstFile利用
  • 8.9 PHP可变变量
  • 第三部分 PHP安全编程规范
  • 第9章 参数的安全过滤
  • 9.1 第三方过滤函数与类
  • 9.1.1 discuz SQL安全过滤类分析
  • 9.1.2 discuz XSS标签过滤函数分析
  • 9.2 内置过滤函数
  • 第10章 使用安全的加密算法
  • 10.1 对称加密
  • 10.1.1 3DES加密
  • 10.1.2 AES加密
  • 10.2 非对称加密
  • RSA加密
  • 10.3 单向加密
  • MD5/sha1加密
  • 第11章 业务功能安全设计
  • 11.1 验证码
  • 11.1.1 验证码绕过
  • 11.1.2 验证码资源滥用
  • 11.2 用户登录
  • 11.2.1 撞库漏洞
  • 11.2.2 API登录
  • 11.3 用户注册
  • 11.4 密码找回
  • 11.5 资料查看与修改
  • 11.6 投票/积分/抽奖
  • 11.7 充值支付
  • 11.8 私信及反馈
  • 11.9 远程地址访问
  • 11.10 文件管理
  • 11.11 数据库管理
  • 11.12 命令/代码执行
  • 11.13 文件/数据库备份
  • 11.14 API
  • 第12章 应用安全体系建设
  • 12.1 用户密码安全策略
  • 12.2 前后台用户分表
  • 12.3 后台地址隐藏
  • 12.4 密码加密存储方式
  • 12.5 登录限制
  • 12.6 API站库分离
  • 12.7 慎用第三方服务
  • 12.8 严格的权限控制
  • 12.9 敏感操作多因素验证
  • 12.10 应用自身的安全中心
  • 参考资源
展开全部

评分及书评

评分不足
1个评分
  • 用户头像
    给这本书评了
    5.0

    漏洞挖掘是一门艺术,同时也是信息安全的核心领域。安全技术发展到今天,常见的漏洞挖掘技术有代码审计、黑盒测试、Fuzzing、逆向分析等。每一种技术都有独到之处,而其中,代码审计又是最基本、最直接的一种方式,是每一个安全专家都应该掌握的技能。

      转发
      评论

    出版方

    机械工业出版社有限公司

    机械工业出版社是全国优秀出版社,自1952年成立以来,坚持为科技、为教育服务,以向行业、向学校提供优质、权威的精神产品为宗旨,以“服务社会和人民群众需求,传播社会主义先进文化”为己任,产业结构不断完善,已由传统的图书出版向着图书、期刊、电子出版物、音像制品、电子商务一体化延伸,现已发展为多领域、多学科的大型综合性出版社,涉及机械、电工电子、汽车、计算机、经济管理、建筑、ELT、科普以及教材、教辅等领域。