[
-
内容大纲
本书是奇安信认证网络安全工程师培训教材之一,目的是为网络安全行业培养合格的人才。网络安全人才的培养是一项艰巨的任务,其中代码审计人才更是“稀缺资源”。
本书分为4章。第1章代码审计基础,内容包括基础Java开发环境搭建、代码审计环境搭建。第2章常见漏洞审计,介绍了多种常见漏洞的成因以及审计和修复的技巧。第3章常见的框架漏洞,介绍了Java开发中经常使用的一些框架的典型漏洞,如Spring、Struts2等的命令执行漏洞。第4章代码审计实战,通过对真实环境下的Java应用程序进行审计,向读者详细介绍了Java代码审计的技巧与方法。
本书可供软件开发工程师、网络运维人员、渗透测试工程师、网络安全工程师,以及想要从事网络安全工作的人员阅读。 -
作者介绍
-
目录
第1章 代码审计基础
1.1 Java Web环境搭建
1.1.1 Java EE介绍
1.1.2 Java EE环境搭建
1.2 Java Web动态调试
1.2.1 Eclipse动态调试
1.2.2 IDEA动态调试程序
第2章 常见漏洞审计
2.1 SQL注入漏洞
2.1.1 SQL注入漏洞简介
2.1.2 执行SQL语句的几种方式
2.1.3 常见Java SQL注入
2.1.4 常规注入代码审计
2.1.5 二次注入代码审计
2.1.6 SQL注入漏洞修复
2.2 任意文件上传漏洞
2.2.1 常见文件上传方式
2.2.2 文件上传漏洞审计
2.2.3 文件上传漏洞修复
2.3 XSS漏洞
2.3.1 XSS常见触发位置
2.3.2 反射型XSS
2.3.3 存储型XSS
2.3.4 XSS漏洞修复
2.4 目录穿越漏洞
2.4.1 目录穿越漏洞简介
2.4.2 目录穿越漏洞审计
2.4.3 目录穿越漏洞修复
2.5 URL跳转漏洞
2.5.1 URL重定向
2.5.2 URL跳转漏洞审计
2.5.3 URL跳转漏洞修复
2.6 命令执行漏洞
2.6.1 命令执行漏洞简介
2.6.2 ProcessBuilder命令执行漏洞
2.6.3 Runtime exec命令执行漏洞
2.6.4 命令执行漏洞修复
2.7 XXE漏洞
2.7.1 XML的常见接口
2.7.2 XXE漏洞审计
2.7.3 XXE漏洞修复
2.8 SSRF漏洞
2.8.1 SSRF漏洞简介
2.8.2 SSRF漏洞常见接口
2.8.3 SSRF漏洞审计
2.8.4 SSRF漏洞修复
2.9 SpEL表达式注入漏洞
2.9.1 SpEL介绍
2.9.2 SpEL漏洞
2.9.3 SpEL漏洞审计
2.9.4 SpEL漏洞修复
2.10 Java反序列化漏洞
2.10.1 Java序列化与反序列化
2.10.2 Java反序列化漏洞审计
2.10.3 Java反序列化漏洞修复
2.11 SSTI模板注入漏洞
2.11.1 Velocity模板引擎介绍
2.11.2 SSTI漏洞审计
2.11.3 SSTI漏洞修复
2.12 整数溢出漏洞
2.12.1 整数溢出漏洞介绍
2.12.2 整数溢出漏洞修复
2.13 硬编码密码漏洞
2.14 不安全的随机数生成器
第3章 常见的框架漏洞
3.1 Spring框架
3.1.1 Spring介绍
3.1.2 第一个Spring MVC项目
3.1.3 CVE-2018-1260 Spring Security OAuth2 RCE
3.1.4 CVE-2018-1273 Spring Data Commons RCE
3.1.5 CVE-2017-8046 Spring Data Rest RCE
3.2 Struts2 框架
3.2.1 Struts2介绍
3.2.2 第一个Struts2项目
3.2.3 OGNL表达式介绍
3.2.4 S2-045远程代码执行漏洞
3.2.5 S2-048远程代码执行漏洞
3.2.6 S2-057远程代码执行漏洞
第4章 代码审计实战
4.1 OFCMS审计案例
4.1.1 SQL注入漏洞
4.1.2 目录遍历漏洞
4.1.3 任意文件上传漏洞
4.1.4 模板注入漏洞
4.1.5 储存型XSS漏洞
4.1.6 CSRF漏洞
4.2 MCMS审计案例
4.2.1 任意文件上传漏洞
4.2.2 任意文件解压
同类热销排行榜
- C语言与程序设计教程(高等学校计算机类十二五规划教材)16
- 电机与拖动基础(教育部高等学校自动化专业教学指导分委员会规划工程应用型自动化专业系列教材)13.48
- 传感器与检测技术(第2版高职高专电子信息类系列教材)13.6
- ASP.NET项目开发实战(高职高专计算机项目任务驱动模式教材)15.2
- Access数据库实用教程(第2版十二五职业教育国家规划教材)14.72
- 信号与系统(第3版下普通高等教育九五国家级重点教材)15.08
- 电气控制与PLC(普通高等教育十二五电气信息类规划教材)17.2
- 数字电子技术基础(第2版)17.36
- VB程序设计及应用(第3版十二五职业教育国家规划教材)14.32
- Java Web从入门到精通(附光盘)/软件开发视频大讲堂27.92
推荐书目
-
孩子你慢慢来/人生三书 华人世界率性犀利的一枝笔,龙应台独家授权《孩子你慢慢来》20周年经典新版。她的《...
-
时间简史(插图版) 相对论、黑洞、弯曲空间……这些词给我们的感觉是艰深、晦涩、难以理解而且与我们的...
-
本质(精) 改革开放40年,恰如一部四部曲的年代大戏。技术突变、产品迭代、产业升级、资本对接...