內容簡介
本書內容包括:
■為什麼常規的Bug捕獲技術經常找不出安全問題。
■怎樣才能通過靜態分析幫助程式設計師做好安全工作。
■決定一個靜態分析工具成敗的關鍵屬性和算法。
■提高代碼靜態分析效率的36種技術。
■70多種嚴重安全漏洞及其詳細解決方案。
■來自FireFox、OpenSSH、MySpace、eTrade、Apachehttpd以及其他
■更多軟體的漏洞實例。
■處理非可信輸入的技術。
■消除緩衝區溢出的戰術和戰略方法。
■避免出現Web應用程式、Web服務以及Ajax相關的錯誤。
■關注安全的日誌技術、調試技術以及錯誤/異常處理技術。
■秘密和機密信息的創建、維護和共享。
■帶你穿越靜態分析的詳盡過程。
作者簡介
第一部分軟體安全和靜態分析
第1章軟體安全問題1
1.1僅有防禦性編程還不夠1
1.2安全功能≠安全的功能3
1.3質量的誤區4
1.4軟體開發全局中的靜態分析6
1.5漏洞分類7
1.5.17種有害的領域9
1.5.2“7種有害的領域”與“OWASP前10名”11
1.6小結11
第2章靜態分析簡介12
第3章作為代碼審查過程組成部分的靜態分析29
第4章靜態分析技術內幕45
第二部分常見問題
第5章處理輸入75
第6章緩衝區溢出113
第7章緩衝區溢出伴隨的問題152
第8章錯誤和異常171
第三部分特性與特色
第9章Web應用程式191
第10章XML與Web服務224
第11章隱私與秘密243
第12章具有特權的程式270
第四部分靜態分析實踐
第13章Java語言原始碼分析練習293
第14章C語言原始碼分析練習324
參考文獻351
……[看更多目錄]
目錄
譯者序
序
前言
作者簡介
第一部分軟體安全和靜態分析
第1章軟體安全問題1
1.1僅有防禦性編程還不夠1
1.2安全功能≠安全的功能3
1.3質量的誤區4
1.4軟體開發全局中的靜態分析6
1.5漏洞分類7
1.5.17種有害的領域9
1.5.2“7種有害的領域”與“OWASP前10名”11
1.6小結11
第2章靜態分析簡介12
第3章作為代碼審查過程組成部分的靜態分析29
第4章靜態分析技術內幕45
第二部分常見問題
第5章處理輸入75
第6章緩衝區溢出113
第7章緩衝區溢出伴隨的問題152
第8章錯誤和異常171
第三部分特性與特色
第9章Web應用程式191
第10章XML與Web服務224
第11章隱私與秘密243
第12章具有特權的程式270
第四部分靜態分析實踐
第13章Java語言原始碼分析練習293
第14章C語言原始碼分析練習324
參考文獻351
……
