《網絡安全java代碼審計實戰》

奇安信認證網絡安全工程師系列叢書
圖書作者:
高昌盛、閔海釗、孫基栩
出版商:
電子工業出版社
發行時間:
2020年08月01
購買方式:
敬请期待

內容簡介 CONTENT VALIDITY

        本書是“奇安信認證網絡安全工程師系列叢書”之一,共分為4個章節,涉及基礎Java語法特性及開發環境搭建、代碼審計環境搭建、常見高危top10漏洞原理及審計技巧、框架漏洞原理及審計技巧以及代碼審計實戰。第1章Java代碼審計基礎、第2章常見漏洞的審計、第3章常見的框架漏洞、第4章代碼審計實戰。


        本書全篇採用簡單易懂從易到難的方法,使讀者能夠通過閲讀書籍進一步瞭解到Java代碼審計的相關知識以及技巧,並通過跟隨作者審計的步伐一步步實戰快速對Java代碼審計擁有全面的認識及快速掌握該項技能。


        本書可供高校畢業生、軟件開發工程師、網絡運維人員、滲透測試工程師、網絡安全工程師以及想要從事網絡安全工作的人羣使用。

更多

目錄 CONTENTS

第1章 代碼審計基礎

1.1JavaWeb環境搭建

1.1.1JavaEE介紹
1.1.2JavaEE環境搭建

1.2JavaWeb動態調試

1.2.1Eclipse動態調試
1.2.2IDEA動態調試程序

第2章常見漏洞審計

2.1SQL注入漏洞

2.1.1SQL注入漏洞簡介
2.1.2執行SQL語句的幾種方式
2.1.3常見JavaSQL注入
2.1.4常規注入代碼審計
2.1.5二次注入代碼審計
2.1.6SQL注入漏洞修復

2.2任意文件上傳漏洞

2.2.1常見文件上傳方式
2.2.2文件上傳漏洞審計
2.2.3文件上傳漏洞修復

2.3XSS漏洞

2.3.1XSS常見觸發位置
2.3.2反射型XSS
2.3.3存儲型XSS
2.3.4XSS漏洞修復

2.4目錄穿越漏洞

2.4.1目錄穿越漏洞簡介
2.4.2目錄穿越漏洞審計
2.4.3目錄穿越漏洞修復

2.5URL跳轉漏洞

2.5.1URL重定向
2.5.2URL跳轉漏洞審計
2.5.3URL跳轉漏洞修復

2.6命令執行漏洞

2.6.1命令執行漏洞簡介
2.6.2ProcessBuilder命令執行漏洞
2.6.3Runtimeexec命令執行漏洞
2.6.4命令執行漏洞修復

2.7XXE漏洞

2.7.1XML的常見接口
2.7.2XXE漏洞審計
2.7.3XXE漏洞修復

2.8SSRF漏洞

2.8.1SSRF漏洞簡介
2.8.2SSRF漏洞常見接口
2.8.3SSRF漏洞審計
2.8.4SSRF漏洞修復

2.9SpEL表達式注入漏洞

2.9.1SpEL介紹
2.9.2SpEL漏洞
2.9.3SpEL漏洞審計
2.9.4SpEL漏洞修復

2.10Java反序列化漏洞

2.10.1Java序列化與反序列化
2.10.2Java反序列化漏洞審計
2.10.3Java反序列化漏洞修復

2.11SSTI模板注入漏洞

2.11.1Velocity模板引擎介紹
2.11.2SSTI漏洞審計
2.11.3SSTI漏洞修復

2.12整數溢出漏洞

2.12.1整數溢出漏洞介紹
2.12.2整數溢出漏洞修復

2.13硬編碼密碼漏洞
2.14不安全的隨機數生成器

第3章常見的框架漏洞

3.1Spring框架

3.1.1Spring介紹
3.1.2第一個SpringMVC項目
3.1.3CVE-2018-1260SpringSecurityOAuth2RCE
3.1.4CVE-2018-1273SpringDataCommonsRCE
3.1.5CVE-2017-8046SpringDataRestRCE

3.2Struts2框架

3.2.1Struts2介紹
3.2.2第一個Struts2項目
3.2.3OGNL表達式介紹
3.2.4S2-045遠程代碼執行漏洞
3.2.5S2-048遠程代碼執行漏洞
3.2.6S2-057遠程代碼執行漏洞

第4章代碼審計實戰

4.1OFCMS審計案例

4.1.1SQL注入漏洞
4.1.2目錄遍歷漏洞
4.1.3任意文件上傳漏洞
4.1.4模板注入漏洞
4.1.5儲存型XSS漏洞
4.1.6CSRF漏洞

4.2MCMS審計案例

4.2.1任意文件上傳漏洞
4.2.2任意文件解壓