代码审计:企业级Web代码安全架构
编辑推荐
全方位介绍代码审计,从审计环境的准备到审计思路、工具的使用以及功能的安全设计原则,涵盖了大量工具和方法。 针对各种实际漏洞案例进行剖析,不仅分析了漏洞的成因,还给出了具体防御方案,方法简洁实用,讲解一针见血 代码审计是企业安全运营的基础,是安全从业者必备的基本技能。本书详细介绍代码审计的设计思路以及所需要的工具和方法,不仅用大量案例介绍了实用方法,而且剖析了各种代码安全漏洞的成因与预防策略。对应用开发人员和安全技术人员都有参考价值。
内容简介
代码审计是企业安全运营的重要步骤,也是安全从业者必备的基础技能。本书详细介绍代码审计的设计思路以及所需要的工具和方法,不仅用大量案例介绍了实用方法,而且剖析了各种代码安全问题的成因与预防方案。无论是应用开发人员还是安全技术人员都能从本书获益。
本书共分为三个部分。第一部分为代码审计前的准备,包括第1~2章,第1章详细介绍代码审计前需要了解的PHP核心配置文件以及PHP环境搭建的方法;第2章介绍学习PHP代码审计需要准备的工具,以及这些工具的详细使用方法。第二部分着重介绍PHP代码审计中的漏洞挖掘思路与防范方法,包括第3~8章,第3章详细介绍PHP代码审计的思路,包括根据关键字回溯参数、通读全文代码以及根据功能点定向挖掘漏洞的三个思路;第4~6章则介绍常见漏洞的审计方法,分别对应基础篇、进阶篇以及深入篇,涵盖SQL注入漏洞、XSS漏洞、文件操作漏洞、代码/命令执行漏洞、变量覆盖漏洞以及逻辑处理等漏洞;第7章介绍二次漏洞的挖掘方法;第8章介绍代码审计过程中的一些重要技巧。第三部分主要介绍PHP安全编程规范,从攻击者的角度来告诉你应该怎么写出更安全的代码,包括第9~12章,第9章介绍参数的安全过滤;第10章介绍PHP中常用的加密算法;第11章从设计安全功能的角度出发,从攻击者的角度详细分析常见功能通常会出现的安全问题以及解决方案;第12章介绍企业的应用安全体系建设,介绍横向细化策略和纵深防御策略的具体实施方法与典型案例。
作者简介
尹毅,网名Seay,阿里巴巴安全专家,Seay源代码审计系统作者,也是知名网络安全博客www。cnseay。com的博主,至今个人博客访问量超百万。他15岁便开始接触网络安全,致力于Web安全研究,开发了大量的安全工具,乐于分享,在代码审计和渗透测试方面有丰富的经验。
在线客服