软件安全的24宗罪——编程缺陷及应对之道    董艳 包战 程文俊 译
 
本书介绍了最新的安全问题,指出了最常见的设计和编码错误,解释了如何修复每个漏洞—— 更美妙的是,如何从一开始就避免出现这些错误。作者与第一个发现19个致命编程漏洞的John Viega合作,探讨了最新的漏洞,并且增加了5个全新的漏洞。软件安全是一个不断变化的主题,不仅不断出现新的漏洞类型,而且出现了漏洞的各种变体.本书总结了目前最危险的24个安全漏洞,给出了丰富的漏洞示例,并且提供了相应的修复措施。
● 各种Web应用程序漏洞及修复措施● 各种实现漏洞及修复措施
● 各种加密漏洞及修复措施● 各种联网漏洞及修复措施
第1章 SQL注入
  • 1.1 漏洞概述
    		•
  • 1.2 CWE参考
  • 1.3 受影响的编程语言
    		•
  • 1.4.1 关于LINQ的注意事项
  • 1.4.2 受漏洞影响的C#
  • 1.4.3 受漏洞影响的PHP
  • 1.4.4 受漏洞影响的Perl/CGI
    		•
  • 1.4.5 受漏洞影响的Python
  • 1.4.6 受漏洞影响的Ruby on Rails
    		•
  • 1.4.7 受漏洞影响的Java和JDBC
  • 1.4.8 受漏洞影响的C/C++
    		•
  • 1.4.9 受漏洞影响的SQL
  • 1.4.10 相关漏洞
    		•
  • 1.5 查找漏洞模式
  • 1.6 在代码审查期间查找该漏洞
    		•
  • 1.7 发现该漏洞的测试技巧
  • 1.8 漏洞示例
    		•
  • 1.8.1 CVE-2006-4953
  • 1.8.2 CVE-2006-4592
    		•
  • 1.9.1 验证所有的输入
  • 1.9.2 使用prepared语句构造SQL语句
    		•
  • 1.9.3 C#弥补措施
  • 1.9.4 PHP 5.0 以及MySQL 1.1或者以..
    		•
  • 1.9.5 Perl/CGI弥补措施
  • 1.9.6 Python弥补措施
    		•
  • 1.9.7 Ruby on Rails弥补措施
  • 1.9.8 使用JDBC的Java弥补措施
    		•
  • 1.9.9 ColdFusion弥补措施
  • 1.9.10 SQL弥补措施
    		•
  • 1.10 其他防御措施
  • 1.11 其他资源
    		•
  • 1.12 本章小结
    • 第5章 缓冲区溢出
  • 5.1 漏洞概述
    		•
  • 5.2 CWE参考
  • 5.3 受影响的编程语言
    		•
  • 5.4 漏洞详述
  • 5.4.1 64位的含义
    		•
  • 5.4.2 受漏洞影响的C/C++
  • 5.4.3 相关漏洞
    		•
  • 5.5 查找漏洞模式
  • 5.6 在代码审查期间查找该漏洞
    		•
  • 5.7 发现该漏洞的测试技巧
  • 5.8.1 CVE-1999-0042
    		•
  • 5.8.2 CVE-2000-0389~CVE-2000-0392
  • 5.8.3 CVE-2002-0842、CVE-2003-0095..
    		•
  • 5.8.4 CAN-2003-0352
  • 5.9.1 替换危险的字符串处理函数
    		•
  • 5.9.2 审计分配操作
  • 5.9.3 检查循环和数组访问
    		•
  • 5.9.4 使用C++字符串来替换C字符串缓..
  • 5.9.5 使用STL容器替代静态数组
    		•
  • 5.9.6 使用分析工具
  • 5.10 其他防御措施
    		•
  • 5.11 其他资源
  • 5.12 本章小结
    • 第9章 捕获异常
  • 9.1 漏洞概述
    		•
  • 9.2 CWE参考
  • 9.3 受影响的编程语言
    		•
  • 9.4.1 有漏洞的C++异常
  • 9.4.2 有漏洞的结构化异常处理(SEH)
    		•
  • 9.4.3 有漏洞的信号处理
  • 9.4.4 有漏洞的C#、VB.NET和Java
    		•
  • 9.4.5 有漏洞的Ruby
  • 9.5 查找漏洞模式
    		•
  • 9.6 在代码审查期间查找该漏洞
  • 9.7 查找漏洞的测试技术
    		•
  • 9.8 漏洞示例
  • 9.9 弥补措施
    		•
  • 9.10 其他资源
  • 9.11 本章小结
    • 第14章 不良可用性
  • 14.1 漏洞概述
    		•
  • 14.2 CWE参考
  • 14.3 受影响的编程语言
    		•
  • 14.4.1 谁是您的用户
  • 14.4.2 雷区:向用户呈现安全信息
    		•
  • 14.4.3 相关漏洞
  • 14.5 查找漏洞模式
    		•
  • 14.6 在代码审查期间查找该漏洞
  • 14.7 发现该漏洞的测试技巧
    		•
  • 14.8.1 SSL/TLS证书认证
  • 14.8.2 Internet Explorer 4.0根证书..
    		•
  • 14.9.1 简化UI以便用户参与
  • 14.9.2 为用户做出安全决策
    		•
  • 14.9.3 易于有选择地放宽安全策略
  • 14.9.4 明确指出后果
    		•
  • 14.9.5 提供可操作性
  • 14.9.6 提供集中管理
    		•
  • 14.10 其他资源
  • 14.11 本章小结
    • 第19章 使用基于弱密码的系统
  • 19.1 漏洞概述
    		•
  • 19.2 CWE参考
  • 19.3 受影响的编程语言
    		•
  • 19.4.1 密码泄露
  • 19.4.2 允许使用弱密码
    		•
  • 19.4.3 密码迭代
  • 19.4.4 不要求改变密码
    		•
  • 19.4.5 默认密码
  • 19.4.6 重放攻击
    		•
  • 19.4.7 存储密码而不是密码验证器
  • 19.4.8 对密码验证器的暴力攻击
    		•
  • 19.4.9 泄露某个失败源自不正确的用..
  • 19.4.10 在线攻击
    		•
  • 19.4.11 返回遗忘的密码
  • 19.4.12 相关漏洞
    		•
  • 19.5 查找漏洞模式
  • 19.6 在代码审查期间查找该漏洞
    		•
  • 19.7.1 密码泄露
  • 19.7.2 重放攻击
    		•
  • 19.7.3 暴力攻击
  • 19.8.1 Zombies Ahead
    		•
  • 19.8.2 要修改的Microsoft Office密码
  • 19.8.3 Adobe Acrobat加密
    		•
  • 19.8.4 WU-ftpd核心转储
  • 19.8.5 CVE-2005-1505
    		•
  • 19.8.6 CVE-2005-0432
  • 19.8.7 TENEX漏洞
    		•
  • 19.8.8 Sarah Palin雅虎电子邮件入侵
  • 19.9.1 密码泄露的弥补措施
    		•
  • 19.9.2 弱密码的弥补措施
  • 19.9.3 迭代密码的弥补措施
    		•
  • 19.9.4 密码改变的弥补措施
  • 19.9.5 默认密码的弥补措施
    		•
  • 19.9.6 重放攻击的弥补措施
  • 19.9.7 密码验证器的弥补措施
    		•
  • 19.9.8 在线暴力攻击的弥补措施
  • 19.9.9 登录信息泄露的弥补措施
    		•
  • 19.9.10 忘记密码的弥补措施
  • 19.10 其他防御措施
    		•
  • 19.11 其他资源
  • 19.12 本章小结
    • 第22章 未能保护好网络通信
  • 22.1 漏洞概述
    		•
  • 22.2 CWE参考
  • 22.3 受影响的编程语言
    		•
  • 22.4 漏洞详述
  • 22.5 查找漏洞模式
    		•
  • 22.6 在代码审查期间查找漏洞
  • 22.7 发现该漏洞的测试技巧
    		•
  • 22.8.1 TCP/IP
  • 22.8.2 电子邮件协议
    		•
  • 22.8.3 电子商务
  • 22.9 弥补措施
    		•
  • 22.10 其他防御措施
  • 22.11 其他资源
    		•
  • 22.12 本章总结