內容提要
我們通常期望計算機可以按照我們的指示去執行任務,在現實生活中,我們通過使用軟體來完成這些期望。目前計算機及其軟體都變得非常的複雜,從我們點擊滑鼠到看到期望的結果這一過程中,可能經過了多層軟體。為了充分利用計算機平台的能力,我們通常要依賴於這些軟體層自身執行的正確性。
對於這些軟體層來說,每一層都可能出現問題,軟體運行的結果並不是作者所需要的,或者至少不是計算機操作者需要的。這些漏洞為我們的系統引入了一定的不確定因素,隨之而來的是重大的安全漏洞。這些漏洞有些比較簡單,比如軟體或系統崩潰(可用於拒絕服務攻擊),或者緩衝區溢出(攻擊者可以以此來替換應用程式的代碼,從而執行任意的命令)。
本書本著小巧、易讀、實用的原則,涵蓋了目前流行的程式語言和運行平台,覆蓋了最為常見的與軟體安全相關的19個致命漏洞。該書採用理論和實踐相結合的方式,對於每個漏洞都給出了詳細的描述、產生的原理、查找的方法、彌補的措施等內容,同時,對於每個漏洞,作者還精選了系統中實際出現的例子加以說明,使其更直觀,令讀者印象更為深刻。另外,在彌補措施中,作者結合多種不同的語言給出具體的代碼彌補方案,從而更增強了實用性。
作者簡介
Michael Howard Microsoft公司安全工程組的高級安全項目管理經理,同時也是獲獎書籍Writing Secure Code的作者之一。他還是IEEE Security&Priavacy Magazine雜誌“Basic Training”欄目作者之一,美國國家網路安全夥伴任務小組為國土安全部編寫的“Processes to Produce Secure Software”一文的作者之一。作為微軟“安全開發生命周期”的架構師,Michael花費了大量的時間來制定和實施最佳安全實踐,促進軟體開發過程改進,為普通用戶提供更為安全的軟體。
目錄
第1章 緩衝區溢出
1.1 漏洞概述
1.2 受影響的程式語言
1.3 漏洞詳細解釋
1.4 查找漏洞模式
1.5 在代碼審查中查找該漏洞
1.6 發現該漏洞的測試技巧
1.7 漏洞示例
1.8 彌補措施
1.9 其他防禦措施
1.10 其他資源
1.11 本章總結
第2章 格式化字元串問題
2.1 漏洞概述
2.2 受影響的程式語言
2.3 漏洞詳細解釋
2.4 查找漏洞模式
2.5 在代碼審查中查找該漏洞
2.6 發現該漏洞的測試技巧
2.7 漏洞示例
2.8 彌補措施
2.9 其他防禦措施
2.10 其他資源
2.11 本章總結
第3章 整數溢出
3.1 漏洞概述
3.2 受影響的程式語言
3.3 漏洞詳細解釋
3.4 查找漏洞模式
3.5 在代碼審查中查找漏洞
3.6 發現該漏洞的測試技巧
3.7 漏洞示例
3.8 彌補措施
3.9 其他防禦措施
3.10 其他資源
3.11 本章總結
第4章 SQL注入
4.1 漏洞概述
4.2 受影響的程式語言
4.3 漏洞詳細解釋
4.4 查找漏洞模式
4.5 在代碼審查中查找該漏洞
4.6 發現該漏洞的測試技巧
4.7 漏洞示例
4.8 彌補措施
4.9 其他防禦措施
4.10 其他資源
4.11 本章總結
第5章 命令注入
第6章 未能處理錯誤信息
第7章 跨站腳本
第8章 未能保護好網路流量
第9章 使用Magic URL及隱藏表單欄位
第10章 未能正確使用SSL和TLS
第11章 使用基於弱口令的系統
第12章 未能安全地存儲和保護數據
第13章 信息泄漏
第14章 不恰當的檔案訪問
第15章 輕信網路域名解析
第16章 競爭條件
第17章 未認證的密鑰交換
第18章 密碼學強度隨機數
第19章 不良可用性
附錄A 19個致命漏洞與OWASP的“前10名”漏洞的對應關係
附錄B “要”與“不要”提示總結
譯者術語表
