出版社:清华大学出版社
年代:2006
定价:
本书就软件安全的漏洞,如:缓冲区溢出,格式化字符串问题,命令注入,跨站脚本,未能处理错误信息等,进行讲解。
第1章 缓冲区溢出 1.1 漏洞概述 1.2 受影响的编程语言 1.3 漏洞详细解释 1.4 查找漏洞模式 1.5 在代码审查中查找该漏洞 1.6 发现该漏洞的测试技巧 1.7 漏洞示例 1.8 弥补措施 1.9 其他防御措施 1.10 其他资源 1.11 本章总结 第2章 格式化字符串问题 2.1 漏洞概述 2.2 受影响的编程语言
第1章 缓冲区溢出 1.1 漏洞概述 1.2 受影响的编程语言 1.3 漏洞详细解释 1.4 查找漏洞模式 1.5 在代码审查中查找该漏洞 1.6 发现该漏洞的测试技巧 1.7 漏洞示例 1.8 弥补措施 1.9 其他防御措施 1.10 其他资源 1.11 本章总结 第2章 格式化字符串问题 2.1 漏洞概述 2.2 受影响的编程语言 2.3 漏洞详细解释 2.4 查找漏洞模式 2.5 在代码审查中查找该漏洞 2.6 发现该漏洞的测试技巧 2.7 漏洞示例 2.8 弥补措施 2.9 其他防御措施 2.10 其他资源 2.11 本章总结 第3章 整数溢出 3.1 漏洞概述 3.2 受影响的编程语言 3.3 漏洞详细解释 3.4 查找漏洞模式 3.5 在代码审查中查找漏洞 3.6 发现该漏洞的测试技巧 3.7 漏洞示例 3.8 弥补措施 3.9 其他防御措施 3.10 其他资源 3.11 本章总结 第4章 SQL注入 4.1 漏洞概述 4.2 受影响的编程语言 4.3 漏洞详细解释 4.4 查找漏洞模式 4.5 在代码审查中查找该漏洞 4.6 发现该漏洞的测试技巧 4.7 漏洞示例 4.8 弥补措施 4.9 其他防御措施 4.10 其他资源 4.11 本章总结 第5章 命令注入 第6章 未能处理错误信息 第7章 跨站脚本 第8章 未能保护好网络流量 第9章 使用Magic URL及隐藏表单字段第10章 未能正确使用SSL和TLS 第11章 使用基于弱口令的系统 第12章 未能安全地存储和保护数据第13章 信息泄漏 第14章 不恰当的文件访问 第15章 轻信网络域名解析 第16章 竞争条件 第17章 未认证的密钥交换 第18章 密码学强度随机数第19章 不良可用性 附录A 19个致命漏洞与OWASP的“前10名”漏洞的对应关系附录B “要”与“不要”提示总结译者术语表
我们通常期望计算机可以按照我们的指示去执行任务,在现实生活中,我们通过使用软件来完成这些期望。目前计算机及其软件都变得非常的复杂,从我们点击鼠标到看到期望的结果这一过程中,可能经过了多层软件。为了充分利用计算机平台的能力,我们通常要依赖于这些软件层自身执行的正确性。 对于这些软件层来说,每一层都可能出现问题,软件运行的结果并不是作者所需要的,或者至少不是计算机操作者需要的。这些漏洞为我们的系统引入了一定的不确定因素,随之而来的是重大的安全漏洞。这些漏洞有些比较简单,比如软件或系统崩溃(可用于拒绝服务攻击),或者缓冲区溢出(攻击者可以以此来替换应用程序的代码,从而执行任意的命令)。 本书本着小巧、易读、实用的原则,涵盖了目前流行的编程语言和运行平台,覆盖了最为常见的与软件安全相关的19个致命漏洞。该书采用理论和实践相结合的方式,对于每个漏洞都给出了详细的描述、产生的原理、查找的方法、弥补的措施等内容,同时,对于每个漏洞,作者还精选了系统中实际出现的例子加以说明,使其更直观,令读者印象更为深刻。另外,在弥补措施中,作者结合多种不同的语言给出具体的代码弥补方案,从而更增强了实用性。