《网络安全java代码审计实战》

奇安信认证网络安全工程师系列丛书
图书作者:
高昌盛、闵海钊、孙基栩
出版商:
电子工业出版社
发行时间:
2020年08月01
购买方式:
敬请期待

内容简介 CONTENT VALIDITY

        本书是“奇安信认证网络安全工程师系列丛书”之一,共分为4个章节,涉及基础Java语法特性及开发环境搭建、代码审计环境搭建、常见高危top10漏洞原理及审计技巧、框架漏洞原理及审计技巧以及代码审计实战。第1章Java代码审计基础、第2章常见漏洞的审计、第3章常见的框架漏洞、第4章代码审计实战。


        本书全篇采用简单易懂从易到难的方法,使读者能够通过阅读书籍进一步了解到Java代码审计的相关知识以及技巧,并通过跟随作者审计的步伐一步步实战快速对Java代码审计拥有全面的认识及快速掌握该项技能。


        本书可供高校毕业生、软件开发工程师、网络运维人员、渗透测试工程师、网络安全工程师以及想要从事网络安全工作的人群使用。

更多

目录 CONTENTS

第1章 代码审计基础

1.1JavaWeb环境搭建

1.1.1JavaEE介绍
1.1.2JavaEE环境搭建

1.2JavaWeb动态调试

1.2.1Eclipse动态调试
1.2.2IDEA动态调试程序

第2章常见漏洞审计

2.1SQL注入漏洞

2.1.1SQL注入漏洞简介
2.1.2执行SQL语句的几种方式
2.1.3常见JavaSQL注入
2.1.4常规注入代码审计
2.1.5二次注入代码审计
2.1.6SQL注入漏洞修复

2.2任意文件上传漏洞

2.2.1常见文件上传方式
2.2.2文件上传漏洞审计
2.2.3文件上传漏洞修复

2.3XSS漏洞

2.3.1XSS常见触发位置
2.3.2反射型XSS
2.3.3存储型XSS
2.3.4XSS漏洞修复

2.4目录穿越漏洞

2.4.1目录穿越漏洞简介
2.4.2目录穿越漏洞审计
2.4.3目录穿越漏洞修复

2.5URL跳转漏洞

2.5.1URL重定向
2.5.2URL跳转漏洞审计
2.5.3URL跳转漏洞修复

2.6命令执行漏洞

2.6.1命令执行漏洞简介
2.6.2ProcessBuilder命令执行漏洞
2.6.3Runtimeexec命令执行漏洞
2.6.4命令执行漏洞修复

2.7XXE漏洞

2.7.1XML的常见接口
2.7.2XXE漏洞审计
2.7.3XXE漏洞修复

2.8SSRF漏洞

2.8.1SSRF漏洞简介
2.8.2SSRF漏洞常见接口
2.8.3SSRF漏洞审计
2.8.4SSRF漏洞修复

2.9SpEL表达式注入漏洞

2.9.1SpEL介绍
2.9.2SpEL漏洞
2.9.3SpEL漏洞审计
2.9.4SpEL漏洞修复

2.10Java反序列化漏洞

2.10.1Java序列化与反序列化
2.10.2Java反序列化漏洞审计
2.10.3Java反序列化漏洞修复

2.11SSTI模板注入漏洞

2.11.1Velocity模板引擎介绍
2.11.2SSTI漏洞审计
2.11.3SSTI漏洞修复

2.12整数溢出漏洞

2.12.1整数溢出漏洞介绍
2.12.2整数溢出漏洞修复

2.13硬编码密码漏洞
2.14不安全的随机数生成器

第3章常见的框架漏洞

3.1Spring框架

3.1.1Spring介绍
3.1.2第一个SpringMVC项目
3.1.3CVE-2018-1260SpringSecurityOAuth2RCE
3.1.4CVE-2018-1273SpringDataCommonsRCE
3.1.5CVE-2017-8046SpringDataRestRCE

3.2Struts2框架

3.2.1Struts2介绍
3.2.2第一个Struts2项目
3.2.3OGNL表达式介绍
3.2.4S2-045远程代码执行漏洞
3.2.5S2-048远程代码执行漏洞
3.2.6S2-057远程代码执行漏洞

第4章代码审计实战

4.1OFCMS审计案例

4.1.1SQL注入漏洞
4.1.2目录遍历漏洞
4.1.3任意文件上传漏洞
4.1.4模板注入漏洞
4.1.5储存型XSS漏洞
4.1.6CSRF漏洞

4.2MCMS审计案例

4.2.1任意文件上传漏洞
4.2.2任意文件解压

将您对奇安信的任何疑问用以下方式告诉我们

将您对奇安信的任何疑问

用以下方式告诉我们

联系客服 提交信息

网络安全服务热线:95015