網(wǎng)絡(luò)安全Java代碼審計(jì)實(shí)戰(zhàn)
定 價(jià):66 元
叢書名:奇安信認(rèn)證網(wǎng)絡(luò)安全工程師系列叢書
- 作者:高昌盛
- 出版時(shí)間:2021/10/1
- ISBN:9787121420443
- 出 版 社:電子工業(yè)出版社
- 中圖法分類:TP312.8
- 頁碼:
- 紙張:膠版紙
- 版次:
- 開本:16開
本書是奇安信認(rèn)證網(wǎng)絡(luò)安全工程師培訓(xùn)教材之一�����,目的是為網(wǎng)絡(luò)安全行業(yè)培養(yǎng)合格的人才�����。網(wǎng)絡(luò)安全人才的培養(yǎng)是一項(xiàng)艱巨的任務(wù)�����,其中代碼審計(jì)人才更是稀缺資源�����。本書分為4章�����。第1章代碼審計(jì)基礎(chǔ)�����,內(nèi)容包括基礎(chǔ)Java開發(fā)環(huán)境搭建�����、代碼審計(jì)環(huán)境搭建�����。第2章常見漏洞審計(jì)�����,介紹了多種常見漏洞的成因以及審計(jì)和修復(fù)的技巧。第3章常見的框架漏洞�����,介紹了Java開發(fā)中經(jīng)常使用的一些框架的典型漏洞�����,如Spring�����、Struts2等的命令執(zhí)行漏洞�����。第4章代碼審計(jì)實(shí)戰(zhàn)�����,通過對(duì)真實(shí)環(huán)境下的Java應(yīng)用程序進(jìn)行審計(jì)�����,向讀者詳細(xì)介紹了Java代碼審計(jì)的技巧與方法�����。本書可供軟件開發(fā)工程師�����、網(wǎng)絡(luò)運(yùn)維人員�����、滲透測(cè)試工程師�����、網(wǎng)絡(luò)安全工程師�����,以及想要從事網(wǎng)絡(luò)安全工作的人員閱讀�����。
高昌盛:奇安信集團(tuán)奇物安全實(shí)驗(yàn)室安全研究員�����,主要從事Web安全與物聯(lián)網(wǎng)安全研究方向。國(guó)內(nèi)知名CTF戰(zhàn)隊(duì)W&M戰(zhàn)隊(duì)隊(duì)長(zhǎng)�����,白帽一百安全團(tuán)隊(duì)負(fù)責(zé)人�����,DEFCON GROUP 0571發(fā)起人�����。曾多次在各類安全沙龍進(jìn)行演講�����,獲得過多個(gè)CTF競(jìng)賽一等獎(jiǎng)�����。閔海釗:奇安信集團(tuán)認(rèn)證培訓(xùn)部技術(shù)經(jīng)理�����,安全組織defcon group 0531發(fā)起人之一�����,第二屆"藍(lán)帽杯"全國(guó)大學(xué)生網(wǎng)絡(luò)安全技能大賽專家組組長(zhǎng),教育部ECSP認(rèn)證講師�����,在CVE�����、CNNVD�����、CNVD提交多個(gè)高危原創(chuàng)漏洞�����,取得教育部信息安全對(duì)團(tuán)體抗賽一等獎(jiǎng)�����、中國(guó)信息安全技能大賽二等獎(jiǎng)證書等多個(gè)CTF比賽獎(jiǎng)項(xiàng)�����。孫基栩:山東大學(xué)網(wǎng)絡(luò)空間安全實(shí)驗(yàn)室成員�����,紅日安全團(tuán)隊(duì)核心成員�����,Defcon group Speaker�����、360Bugcloud榮譽(yù)講師�����。主要研究方向?yàn)楣た匕踩�����、紅藍(lán)對(duì)抗�����,曾在各大漏洞平臺(tái)提交并審核通過數(shù)十枚通用型漏洞。
第1章 代碼審計(jì)基礎(chǔ)(1)
1.1 Java Web環(huán)境搭建(1)
1.1.1 Java EE介紹(1)
1.1.2 Java EE環(huán)境搭建(1)
1.2 Java Web動(dòng)態(tài)調(diào)試(18)
1.2.1 Eclipse動(dòng)態(tài)調(diào)試(19)
1.2.2 IDEA動(dòng)態(tài)調(diào)試程序(21)
第2章 常見漏洞審計(jì)(32)
2.1 SQL注入漏洞(32)
2.1.1 SQL注入漏洞簡(jiǎn)介(32)
2.1.2 執(zhí)行SQL語句的幾種方式(33)
2.1.3 常見Java SQL注入(38)
2.1.4 常規(guī)注入代碼審計(jì)(46)
2.1.5 二次注入代碼審計(jì)(48)
2.1.6 SQL注入漏洞修復(fù)(51)
2.2 任意文件上傳漏洞(53)
2.2.1 常見文件上傳方式(53)
2.2.2 文件上傳漏洞審計(jì)(56)
2.2.3 文件上傳漏洞修復(fù)(59)
2.3 XSS漏洞(61)
2.3.1 XSS常見觸發(fā)位置(61)
2.3.2 反射型XSS(65)
2.3.3 存儲(chǔ)型XSS(66)
2.3.4 XSS漏洞修復(fù)(70)
2.4 目錄穿越漏洞(73)
2.4.1 目錄穿越漏洞簡(jiǎn)介(73)
2.4.2 目錄穿越漏洞審計(jì)(74)
2.4.3 目錄穿越漏洞修復(fù)(75)
2.5 URL跳轉(zhuǎn)漏洞(76)
2.5.1 URL重定向(77)
2.5.2 URL跳轉(zhuǎn)漏洞審計(jì)(78)
2.5.3 URL跳轉(zhuǎn)漏洞修復(fù)(79)
2.6 命令執(zhí)行漏洞(80)
2.6.1 命令執(zhí)行漏洞簡(jiǎn)介(80)
2.6.2 ProcessBuilder命令執(zhí)行漏洞(80)
2.6.3 Runtime exec命令執(zhí)行漏洞(83)
2.6.4 命令執(zhí)行漏洞修復(fù)(90)
2.7 XXE漏洞(90)
2.7.1 XML的常見接口(91)
2.7.2 XXE漏洞審計(jì)(94)
2.7.3 XXE漏洞修復(fù)(96)
2.8 SSRF漏洞(97)
2.8.1 SSRF漏洞簡(jiǎn)介(97)
2.8.2 SSRF漏洞常見接口(98)
2.8.3 SSRF漏洞審計(jì)(101)
2.8.4 SSRF漏洞修復(fù)(103)
2.9 SpEL表達(dá)式注入漏洞(105)
2.9.1 SpEL介紹(105)
2.9.2 SpEL漏洞(106)
2.9.3 SpEL漏洞審計(jì)(107)
2.9.4 SpEL漏洞修復(fù)(109)
2.10 Java反序列化漏洞(109)
2.10.1 Java序列化與反序列化(110)
2.10.2 Java反序列化漏洞審計(jì)(113)
2.10.3 Java反序列化漏洞修復(fù)(116)
2.11 SSTI模板注入漏洞(118)
2.11.1 Velocity模板引擎介紹(119)
2.11.2 SSTI漏洞審計(jì)(120)
2.11.3 SSTI漏洞修復(fù)(121)
2.12 整數(shù)溢出漏洞(122)
2.12.1 整數(shù)溢出漏洞介紹(122)
2.12.2 整數(shù)溢出漏洞修復(fù)(122)
2.13 硬編碼密碼漏洞(123)
2.14 不安全的隨機(jī)數(shù)生成器(124)
第3章 常見的框架漏洞(127)
3.1 Spring框架(127)
3.1.1 Spring介紹(127)
3.1.2 個(gè)Spring MVC項(xiàng)目(128)
3.1.3 CVE-2018-1260 Spring Security OAuth2 RCE(139)
3.1.4 CVE-2018-1273 Spring Data Commons RCE(144)
3.1.5 CVE-2017-8046 Spring Data Rest RCE(149)
3.2 Struts2 框架(156)
3.2.1 Struts2介紹(156)
3.2.2 個(gè)Struts2項(xiàng)目(157)
3.2.3 OGNL表達(dá)式介紹(166)
3.2.4 S2-045遠(yuǎn)程代碼執(zhí)行漏洞(170)
3.2.5 S2-048遠(yuǎn)程代碼執(zhí)行漏洞(179)
3.2.6 S2-057遠(yuǎn)程代碼執(zhí)行漏洞(183)
第4章 代碼審計(jì)實(shí)戰(zhàn)(190)
4.1 OFCMS審計(jì)案例(190)
4.1.1 SQL注入漏洞(194)
4.1.2 目錄遍歷漏洞(196)
4.1.3 任意文件上傳漏洞(199)
4.1.4 模板注入漏洞(204)
4.1.5 儲(chǔ)存型XSS漏洞(205)
4.1.6 CSRF漏洞(207)
4.2 MCMS審計(jì)案例(209)
4.2.1 任意文件上傳漏洞(212)
4.2.2 任意文件解壓(217)
書單推薦
