代码审计：企业级Web代码安全架构 - (EPUB全文下载)

文件大小：4.3 mb。
文件格式：epub 格式。
书籍内容：

信息安全技术丛书
代码审计：企业级Web代码安全架构
尹毅　著
ISBN：978-7-111-52006-1
本书纸版由机械工业出版社于2015年出版，电子版由华章分社（北京华章图文信息有限公司，北京奥维博世图书发行有限公司）全球范围内制作与发行。
版权所有，侵权必究
客服热线：+ 86-10-68995265
客服信箱：service@bbbvip.com
官方网址：www.hzmedia.com.cn
新浪微博 @华章数媒
微信公众号 华章电子书（微信号：hzebook）
目录
序言
前言
导读
第一部分　代码审计前的准备
第1章　代码审计环境搭建
1.1　wamp/wnmp环境搭建
1.2　lamp/lnmp环境搭建
1.3　PHP核心配置详解
第2章　审计辅助与漏洞验证工具
2.1　代码编辑器
2.2　代码审计工具
2.3　漏洞验证辅助
第二部分　漏洞发现与防范
第3章　通用代码审计思路
3.1　敏感函数回溯参数过程
3.2　通读全文代码
3.3　根据功能点定向审计
第4章　漏洞挖掘与防范（基础篇）
4.1　SQL注入漏洞
4.2　XSS漏洞
4.3　CSRF漏洞
第5章　漏洞挖掘与防范（进阶篇）
5.1　文件操作漏洞
5.2　代码执行漏洞
5.3　命令执行漏洞
第6章　漏洞挖掘与防范（深入篇）
6.1　变量覆盖漏洞
6.2　逻辑处理漏洞
6.3　会话认证漏洞
第7章　二次漏洞审计
7.1　什么是二次漏洞
7.2　二次漏洞审计技巧
7.3　dedecms二次注入漏洞分析
第8章　代码审计小技巧
8.1　钻GPC等转义的空子
8.2　神奇的字符串
8.3　php：//输入输出流
8.4　PHP代码解析标签
8.5　fuzz漏洞发现
8.6　不严谨的正则表达式
8.7　十余种MySQL报错注入
8.8　Windows　FindFirstFile利用
8.9　PHP可变变量
第三部分　PHP安全编程规范
第9章　参数的安全过滤
9.1　第三方过滤函数与类
9.2　内置过滤函数
第10章　使用安全的加密算法
10.1　对称加密
10.2　非对称加密
10.3　单向加密
第11章　业务功能安全设计
11.1　验证码
11.2　用户登录
11.3　用户注册
11.4　密码找回
11.5　资料查看与修改
11.6　投票/积分/抽奖
11.7　充值支付
11.8　私信及反馈
11.9　远程地址访问
11.10　文件管理
11.11　数据库管理
11.12　命令/代码执行
11.13　文件/数据库备份
11.14　API
第12章　应用安全体系建设
12.1　用户密码安全策略
12.2　前后台用户分表
12.3　后台地址隐藏
12.4　密码加密存储方式
12.5　登录限制
12.6　API站库分离
12.7　慎用第三方服务
12.8　严格的权限控制
12.9　敏感操作多因素验证
12.10　应用自身的安全中心
参考资源
序言
我第一次见到尹毅是2013年在北京中关村。那时候我正在安全宝创业，我们需要招募到最好的人才。这时候尹毅的博客吸引了我，在一个技术分享逐渐枯竭的时代，他的博客令人眼前一亮。然后我试图联系到了他，并邀请到北京来聊一聊。
让我大吃一惊的是，尹毅当时还是一个孩子模样，但是时不时能从生涩的脸庞里看到成熟。在这个年纪就出来工作，我想他一定吃过很多苦。在之后的工作中，尹毅展现出了惊人的天赋。交给他的工作总是能迅速并出色地完成，并时不时会在工作中有一些创新性成果令人惊喜。他的自驱力极强，总是不满足于简单的工作，于是我不得不想出一些更复杂和艰难的挑战交给他。
2014年9月，安全宝分拆了部分业务被阿里收购，我带着尹毅一起到了阿里。此时他已经成为一个安全团队的Leader，在中国最大的互联网公司里贡献着力量。
尹毅学东西很勤奋，他平时的业余时间就是写代码，或者看技术文章，因此进步迅速。他很快就在Web漏洞挖掘能力方面有了长足的进步，并取得了不错的成绩，他陆续发现了好些开源软件的高危漏洞。最难能可贵的是，他开始逐步总结这些经验，并且沉淀在自己开发的一个漏洞挖掘工具里。这让他学会了如何从重复的体力劳动中解放出来，把精力用在更有价值的地方。这是一个优秀黑客应具有的特质：厌倦重复性的体力劳动，而对创新充满着无限的热情和旺盛的精力。
尹毅认为，一个好的黑客，必须要懂编程。这也是他在这本书里所倡导的理念。在他看来，不懂编程、没挖过漏洞的黑客，充其量只能算“脚本小子”。所以，尹毅在本书的出发点是从代码审计开始，通过代码审计，去发现和挖掘漏洞。
漏洞挖掘是一门艺术，同时也是信息安全的核心领域。安全技术发展到今天，常见的漏洞挖掘技术有代码审计、黑盒测试、Fuzzing、逆向分析等。每一种技术都有独到之处，而其中，代码审计又是最基本、最直接的一种方式，是每一个安全专家都应该掌握的技能。
但时至今日，全自动化的代码审计仍然存在很多困难，主要难点在于理解编程语言的语法、跨文件之间的关联调用、理解开发框架、业务逻辑等地方。因为这些困难在短期内难以克服，所以通过代码审计来挖掘漏洞，仍然是一种极具技巧性和需要丰富经验的工作。在本书中，尹毅根据他自身的经验和学习成果，对这些知识技巧做了一个很好的总结。
本书虽然主要讲述的是PHP代码安全问题，但其中的很多思想和案例都非常具有代表性。同时，因为互联网上大量的Web应用都是由PHP写成的，因此研究PHP代码安全对于整个互联网Web安全的研究具有至关重要的作用。对于新人来说，非常建议从本书中讲述的内容开始学习。
吴翰清，阿里云云盾负责人，《白帽子讲Web安全》作者
2015.9.20 ............

书籍插图：

以上为书籍内容预览，如需阅读全文内容请下载EPUB源文件，祝您阅读愉快。