代碼審計：企業級Web代碼安全架構 下載 mobi epub pdf 電子書 2024

☆☆☆☆☆
簡體網頁||繁體網頁



點擊這裡下載

類似圖書 點擊查看全場最低價

---

編輯推薦

　　

全方位介紹代碼審計，從審計環境的準備到審計思路、工具的使用以及功能的安全設計原則，涵蓋瞭大量工具和方法。

針對各種實際漏洞案例進行剖析，不僅分析瞭漏洞的成因，還給齣瞭具體防禦方案，方法簡潔實用，講解一針見血

　　

代碼審計是企業安全運營的基礎，是安全從業者必備的基本技能。本書詳細介紹代碼審計的設計思路以及所需要的工具和方法，不僅用大量案例介紹瞭實用方法，而且剖析瞭各種代碼安全漏洞的成因與預防策略。對應用開發人員和安全技術人員都有參考價值。

內容簡介

　　代碼審計是企業安全運營的重要步驟，也是安全從業者必備的基礎技能。本書詳細介紹代碼審計的設計思路以及所需要的工具和方法，不僅用大量案例介紹瞭實用方法，而且剖析瞭各種代碼安全問題的成因與預防方案。無論是應用開發人員還是安全技術人員都能從本書獲益。
　　本書共分為三個部分。第一部分為代碼審計前的準備，包括第1～2章，第1章詳細介紹代碼審計前需要瞭解的PHP核心配置文件以及PHP環境搭建的方法；第2章介紹學習PHP代碼審計需要準備的工具，以及這些工具的詳細使用方法。第二部分著重介紹PHP代碼審計中的漏洞挖掘思路與防範方法，包括第3～8章，第3章詳細介紹PHP代碼審計的思路，包括根據關鍵字迴溯參數、通讀全文代碼以及根據功能點定嚮挖掘漏洞的三個思路；第4～6章則介紹常見漏洞的審計方法，分彆對應基礎篇、進階篇以及深入篇，涵蓋SQL注入漏洞、XSS漏洞、文件操作漏洞、代碼/命令執行漏洞、變量覆蓋漏洞以及邏輯處理等漏洞；第7章介紹二次漏洞的挖掘方法；第8章介紹代碼審計過程中的一些重要技巧。第三部分主要介紹PHP安全編程規範，從攻擊者的角度來告訴你應該怎麼寫齣更安全的代碼，包括第9～12章，第9章介紹參數的安全過濾；第10章介紹PHP中常用的加密算法；第11章從設計安全功能的角度齣發，從攻擊者的角度詳細分析常見功能通常會齣現的安全問題以及解決方案；第12章介紹企業的應用安全體係建設，介紹橫嚮細化策略和縱深防禦策略的具體實施方法與典型案例。

作者簡介

　　尹毅，網名Seay，阿裏巴巴安全專傢，Seay源代碼審計係統作者，也是知名網絡安全博客www。cnseay。com的博主，至今個人博客訪問量超百萬。他15歲便開始接觸網絡安全，緻力於Web安全研究，開發瞭大量的安全工具，樂於分享，在代碼審計和滲透測試方麵有豐富的經驗。

目錄

序言
前言
導讀
第一部分　代碼審計前的準備
第1章代碼審計環境搭建2
1.1　wamp/wnmp環境搭建2
1.2　lamp/lnmp環境搭建4
1.3　PHP核心配置詳解6
第2章審計輔助與漏洞驗證工具14
2.1　代碼編輯器14
2.1.1　Notepad++15
2.1.2　UltraEdit15
2.1.3　Zend Studio19
2.2　代碼審計工具21
2.2.1　Seay源代碼審計係統21
2.2.2　Fortify SCA24
2.2.3　RIPS25
2.3　漏洞驗證輔助27
2.3.1　Burp Suite27
2.3.2　瀏覽器擴展32
2.3.3　編碼轉換及加解密工具36
2.3.4　正則調試工具38
2.3.5　SQL執行監控工具40
第二部分　漏洞發現與防範
第3章通用代碼審計思路46
3.1　敏感函數迴溯參數過程46
3.2　通讀全文代碼50
3.3　根據功能點定嚮審計64
第4章漏洞挖掘與防範（基礎篇）68
4.1　SQL注入漏洞68
4.1.1　挖掘經驗69
4.1.2　漏洞防範74
4.2　XSS漏洞77
4.2.1　挖掘經驗77
4.2.2　漏洞防範82
4.3　CSRF漏洞83
4.3.1　挖掘經驗83
4.3.2　漏洞防範85
第5章漏洞挖掘與防範（進階篇）88
5.1　文件操作漏洞88
5.1.1　文件包含漏洞88
5.1.2　文件讀取（下載）漏洞93
5.1.3　文件上傳漏洞95
5.1.4　文件刪除漏洞99
5.1.5　文件操作漏洞防範100
5.2　代碼執行漏洞102
5.2.1　挖掘經驗102
5.2.2　漏洞防範108
5.3　命令執行漏洞108
5.3.1　挖掘經驗109
5.3.2　漏洞防範112
第6章漏洞挖掘與防範（深入篇）114
6.1　變量覆蓋漏洞114
6.1.1　挖掘經驗115
6.1.2　漏洞防範121
6.2　邏輯處理漏洞122
6.2.1　挖掘經驗122
6.2.2　漏洞防範130
6.3　會話認證漏洞131
6.3.1　挖掘經驗131
6.3.2　漏洞防範135
第7章二次漏洞審計136
7.1　什麼是二次漏洞136
7.2　二次漏洞審計技巧137
7.3　dedecms二次注入漏洞分析137
第8章代碼審計小技巧142
8.1　鑽GPC等轉義的空子142
8.1.1　不受GPC保護的$_SERVER變量142
8.1.2　編碼轉換問題143
8.2　神奇的字符串146
8.2.1　字符處理函數報錯信息泄露146
8.2.2　字符串截斷148
8.3　php:// 輸入輸齣流150
8.4　PHP代碼解析標簽153
8.5　fuzz漏洞發現154
8.6　不嚴謹的正則錶達式156
8.7　十餘種MySQL報錯注入157
8.8　Windows FindFirstFile利用161
8.9　PHP可變變量162
第三部分　PHP安全編程規範
第9章參數的安全過濾166
9.1　第三方過濾函數與類166
9.1.1　discuz SQL安全過濾類分析167
9.1.2　discuz xss標簽過濾函數分析173
9.2　內置過濾函數175
第10章　使用安全的加密算法177
10.1　對稱加密177
10.1.1　3DES加密178
10.1.2　AES加密180
10.2　非對稱加密183
10.3　單嚮加密185
第11章　業務功能安全設計187
11.1　驗證碼187
11.1.1　驗證碼繞過187
11.1.2　驗證碼資源濫用191
11.2　用戶登錄192
11.2.1　撞庫漏洞192
11.2.2　API登錄193
11.3　用戶注冊194
11.4　密碼找迴195
11.5　資料查看與修改197
11.6　投票/積分/抽奬198
11.7　充值支付200
11.8　私信及反饋200
11.9　遠程地址訪問202
11.10　文件管理204
11.11　數據庫管理205
11.12　命令/代碼執行206
11.13　文件/數據庫備份207
11.14　API208
第12章應用安全體係建設211
12.1　用戶密碼安全策略211
12.2　前後颱用戶分錶213
12.3　後颱地址隱藏215
12.4　密碼加密存儲方式216
12.5　登錄限製218
12.6　API站庫分離218
12.7　慎用第三方服務219
12.8　嚴格的權限控製220
12.9　敏感操作多因素驗證221
12.10　應用自身的安全中心223
參考資源227

前言/序言

　　代碼審計是指對源代碼進行檢查，尋找代碼中的bug，這是一項需要多方麵技能的技術，包括對編程的掌握、漏洞形成原理的理解，係統和中間件等的熟悉。
　　為什麼需要代碼審計
　　代碼審計是企業安全運營以及安全從業者必備的基礎能力。代碼審計在很多場景中都需要用到，比如企業安全運營、滲透測試、漏洞研究等。目前已經有不少公司在推廣微軟的軟件SDL（Security Development Lifecycle，安全開發周期），它涵蓋需求分析→設計→編碼→測試→發布→維護，安全貫穿整個軟件開發周期，其中設計、編碼和測試是整個SDL的核心，安全問題大多在這裏被解決掉。其中在安全設計這塊，必須要非常瞭解漏洞形成原理，縱觀全局。而在代碼實現也就是編碼階段，安全依靠於編程人員的技術基礎以及前期安全設計的完善性。然後是測試，測試包括白盒測試。黑盒測試以及灰盒測試。黑盒測試也叫功能測試，是指在不接觸代碼的情況下，測試係統的功能是否有bug，是否滿足設計需求。而白盒測試就是我們說的代碼審計，以開放的形式從代碼層麵尋找bug，如果發現有bug則返迴修復，直到沒有bug纔允許軟件發布上綫。
　　滲透測試人員掌握代碼審計是非常重要的，因為我們在滲透過程中經常需要針對目標環境對payload進行調試。另外，如果通過掃描器掃描到Web目錄下的一個源碼備份包，通常攻擊者都會利用源碼包找一些配置文件，因為裏麵有數據庫、API等一類配置。如果環境有限製，比如目標站數據庫限製連接IP等，那麼工具小子可能在源碼包進行的漏洞利用也就到此為止。對於懂代碼審計的人，結果完全不一樣，他可以對源碼包進行安全審計，發現網站代碼裏存在的漏洞，然後利用挖掘到的漏洞進行滲透。
　　編程能力要求
　　代碼審計對編程語言的基礎有一定要求，至少要能看得懂代碼，這裏說的看懂代碼不是簡單地理解幾個if...else語句和for循環，而是能看懂代碼的邏輯，即使有很多函數沒見過，也是可以到Google去查的。都說編程在語言這塊是一通百通，隻要我們對編程思想理解得非常透徹，重新接觸一種編程語言也是非常快就能上手的，所以不管你之前寫過Java還是C#程序，想玩一玩PHP的代碼審計都應該不是什麼大問題。
　　代碼審計環境準備
　　代碼審計首先要準備的是審計環境工具，不同的環境會影響漏洞的利用，所以建議Linux和Windows係統下的PHP環境都搭建一套，並且需要多個PHP版本。關於版本切換這塊，建議安裝phpStudy，phpStudy是一套Apache+Nginx+LightTPD+PHP+MySQL+phpMyAdmin+Zend Optimizer+Zend Loader的集成環境，可以很方便地安裝和切換環境。代碼審計的工具有很多個，這裏推薦使用筆者開發的Seay源代碼審計係統以及RIPS，二者都是免費開源工具。
　　除瞭自動化審計工具外，還有一些像Burp Suite、瀏覽器擴展以及編碼工具等審計輔助工具也都是必備的。
　　代碼審計思路
　　通常做代碼審計都是檢查敏感函數的參數，然後迴溯變量，判斷變量是否可控並且沒有經過嚴格的過濾，這是一個逆嚮追蹤的過程。而代碼審計並非這一種手段，還可以先找齣哪些文件在接收外部傳入的參數，然後跟蹤變量的傳遞過程，觀察是否有變量傳入到高危函數裏麵，或者傳遞的過程中是否有代碼邏輯漏洞，這是一種正嚮追蹤的方式，這樣的挖掘方式比逆嚮追蹤挖掘得更全。還有一種方式是直接挖掘功能點漏洞，根據自身的經驗判斷該類應用通常在哪些功能中會齣現漏洞，直接全篇閱讀該功能代碼。
　　可能不少新手對於學習PHP代碼審計還有一些迷茫，或許之前嘗試過學習，但一直沒有很好的進展，因為代碼審計是一門很專的技術活，要學好PHP代碼審計，需要掌握以下幾點：
　　PHP編程語言的特性和基礎。
　　Web前端編程基礎。
　　漏洞形成原理。
　　代碼審計思路。
　　不同係統、中間件之間的特性差異。
　　導　　讀　Introduction
　　本書總共分為三個部分。第一部分為代碼審計前的準備，包括第1章以及第2章，第1章詳細介紹我們在學習代碼審計前需要瞭解的PHP核心配置文件以及PHP環境搭建的方法，第2章介紹學習PHP代碼審計需要準備的工具，以及這些工具的詳細使用方法。
　　第二部分包括第3～8章，著重介紹PHP代碼審計中的漏洞挖掘思路與防範方法。
　　第3章詳細介紹PHP代碼審計的思路，包括根據關鍵字迴溯參數、通讀全文代碼以及根據功能點定嚮挖掘漏洞的三個思路。
　　第4～6章講述常見漏洞的審計方法，分彆對應基礎篇、進階篇以及深入篇，涵蓋SQL注入漏洞、XSS漏洞、文件操作漏洞、代碼/命令執行漏洞、變量覆蓋漏洞以及邏輯處理等漏洞。
　　第7章介紹二次漏洞的挖掘方法，二次漏洞在邏輯上比常規漏洞要復雜，所以我們需要單獨拿齣來，以實例來進行介紹。
　　在經過前麵幾章的代碼審計方法學習之後，相信大傢已經能夠挖掘不少有意思的漏洞。第8章將會介紹代碼審計中的更多小技巧，利用這些小技巧可以挖掘到更多有意思的漏洞。每類漏洞都有多個配套的真實漏洞案例分析過程，有助於讀者學習代碼審計的經驗。不過，該章不僅介紹漏洞的挖掘方法，還詳細介紹這些漏洞的修復方法，對開發者來說，這是非常有用的一部分內容。
　　第三部分包括第9～12章，主要介紹PHP安全編程的規範，從攻擊者的角度來告訴你應該怎麼寫齣更安全的代碼，這也是本書的核心內容：讓代碼沒有漏洞。第9章主要介紹參數的安全過濾，所有的攻擊都需要有輸入，所以我們要阻止攻擊，第一件要做的事情就是對輸入的參數進行過濾，該章詳細分析discuz的過濾類，用實例說明什麼樣的過濾更有效果。
　　第10章主要介紹PHP中常用的加密算法。目前99%以上的知名網站都被拖過庫，泄露瞭大量的用戶數據，而這一章將詳細說明使用什麼樣的加密算法能夠幫助你增強數據的安全性。
　　第11章涉及安全編程的核心內容。所有的應用都是一個個功能堆砌起來的，該章從設計安全功能的角度齣發，從攻擊者的角度詳細分析常見功能通常會齣現的安全問題，在分析齣這些安全問題的利用方式後，再給齣問題的解決方案。如果你是應用架構師，這些內容能夠幫助你在設計程序功能的時候避免這些安全問題。
　　第12章介紹應用安全體係建設的兩種策略以及實現案例：橫嚮細化和縱深策略，企業的應用安全應把這兩種策略深入到體係建設中去。
　　以上就是本書的全部內容，看到介紹之後你是不是有點兒興奮呢？趕緊來邊讀邊試吧。
　　感言和緻謝
　　這本書斷斷續續寫瞭一年多，期間也發生瞭很多事情。在2014年9月的時候從創新工場旗下項目安全寶離職，加入到阿裏巴巴安全部。到瞭一個新的環境，工作上麵倒是很快就融入瞭進去，隻是從北京到杭州，是從一個快節奏的城市轉到一個慢節奏的城市，感覺整個人變懶瞭，沒有以前在北京那樣每天激情澎湃。曾經一度想過放棄，因為心裏總感覺像是被捆住瞭一樣，想去做一些事情卻因為還有這本書沒寫完而不能去做。因為寫這本書是我必須要做的事情，一是算是給我自己在安全領域的一個交代，二是我承諾過吳怡編輯，一定會努力寫好這本書，在這個事情上我看得很嚴肅，承諾瞭就一定要做到。
　　為什麼說這算是給自己在安全領域的一個交代呢？記得跟不少朋友說過，創業是我必定要做的一個事情，或許哪天轉行創業瞭，在這個行業裏留下瞭點東西也心安瞭。迴想自己從最初迷戀上網絡安全到現在，中間的一些轉摺點和小插麯還挺有意思，比如以全校第一的成績考上重點高中之後，讀瞭一年就退學去離傢很遠的軟件開發培訓學校，花500塊錢在網吧淘瞭一颱放酷狗都卡得不行的颱式機，在重慶連續通宵讀書快一年，等等，這些都已經是美好的迴憶。在這些美好迴憶中遇到很多美好的人，想對他們說聲謝謝。
　　感謝父母和姐姐、姐夫，最早去重慶的時候，姐姐還懷著馬上要齣生的外甥女，跟姐夫開車送我去重慶。學校一個學期一兩萬的學費，父母預支薪水供我讀書，感謝他們的付齣。
　　感謝機械工業齣版社的吳怡編輯，如果沒有她的鼓勵和指導，也不會有這本書的麵世，真心感謝她。
　　感謝吳瀚清（網名：刺、道哥、大風），在安全寶的時間裏，刺總給瞭我很多幫助，不管是工作上還是個人成長上都給予引導和包容，他是一位真正的好老闆。
　　感謝safekey team的兄弟們，他們是晴天小鑄、tenzy、x0h4ck3r、zvall、yy520以及cond0r，本書裏麵有多個影響非常大的0day齣自他們之手，我們因為喜歡代碼審計而聚集在一起。
　　感謝曾經陪我熬瞭無數個通宵的好哥們Snow、小軟，我們曾經一起滲透，一起研究，一起寫代碼，無不分享。
　　感謝工作中同我一起奮鬥的同事們，沒有他們的辛苦戰鬥就沒有今天我們攻城拔寨的輝煌戰績，他們包括但不限於：翁國軍、李翼、全龍飛、曾歡。
　　感謝喜付寶的林能（ID：矢誌成謎）對本書提齣的建設性建議。


代碼審計：企業級Web代碼安全架構 下載 mobi epub pdf txt 電子書 格式

評分☆☆☆☆☆

挺好的，快遞很給力，服務很好，東西也很好。

評分☆☆☆☆☆

還沒看呢，不過感覺有點貴，希望物有所值吧

評分☆☆☆☆☆

代碼審計是企業安全運營的基礎，是安全從業者必備的基本技能。本書詳細介紹代碼審計的設計思路以及所需要的工具和方法，不僅用大量案例介紹瞭實用方法，而且剖析瞭各種代碼安全漏洞的成因與預防策略。對應用開發人員和安全技術人員都有參考價值。

評分☆☆☆☆☆

經典書，

評分☆☆☆☆☆

不錯不錯不錯不錯

評分☆☆☆☆☆

活動時購買的，差不多三摺，太劃算瞭，給力@

評分☆☆☆☆☆

很不錯。以後會介紹朋友來購買。很喜歡京東的服務。

評分☆☆☆☆☆

應該還不錯吧同學買的呢

評分☆☆☆☆☆

用的還不錯，大品牌值得信賴！

類似圖書 點擊查看全場最低價