孔夫子旧书网-网上买书卖书、古旧书收藏品交易平台 孔夫子旧书网-网上买书卖书、古旧书收藏品交易平台 占位居中 孔夫子旧书网-网上买书卖书、古旧书收藏品交易平台
商品
拍卖区
在售
已售
搜索历史
搜索
高级搜索

网络安全Java代码审计实战

网络安全Java代码审计实战
分享
扫描下方二维码分享到微信
打开微信,点击右上角”+“,
使用”扫一扫“即可将网页分享到朋友圈。
作者:
出版社: 电子工业出版社
2021-10
版次: 1
ISBN: 9787121420443
定价: 66.00
装帧: 平装
开本: 16开
页数: 228页
分类: 计算机与互联网
26人买过
  • 本书是奇安信认证网络安全工程师培训教材之一,目的是为网络安全行业培养合格的人才。网络安全人才的培养是一项艰巨的任务,其中代码审计人才更是“稀缺资源”。本书分为4章。第1章代码审计基础,内容包括基础Java开发环境搭建、代码审计环境搭建。第2章常见漏洞审计,介绍了多种常见漏洞的成因以及审计和修复的技巧。第3章常见的框架漏洞,介绍了Java开发中经常使用的一些框架的典型漏洞,如Spring、Struts2等的命令执行漏洞。第4章代码审计实战,通过对真实环境下的Java应用程序进行审计,向读者详细介绍了Java代码审计的技巧与方法。本书可供软件开发工程师、网络运维人员、渗透测试工程师、网络安全工程师,以及想要从事网络安全工作的人员阅读。 高昌盛:奇安信集团奇物安全实验室安全研究员,主要从事Web安全与物联网安全研究方向。国内知名CTF战队W&M战队队长,白帽一百安全团队负责人,DEFCON GROUP 0571发起人。曾多次在各类安全沙龙进行演讲,获得过多个***CTF竞赛一等奖。闵海钊:奇安信集团认证培训部技术经理,安全组织defcon group 0531发起人之一,第二届\"蓝帽杯\"全国大学生网络安全技能大赛专家组组长,教育部ECSP认证讲师,在CVE、CNNVD、CNVD提交多个高危原创漏洞,取得教育部信息安全对团体抗赛一等奖、中国信息安全技能大赛二等奖证书等多个CTF比赛奖项。孙基栩:山东大学网络空间安全实验室成员,红日安全团队核心成员,Defcon group Speaker、360Bugcloud荣誉讲师。主要研究方向为工控安全、红蓝对抗,曾在各大漏洞平台提交并审核通过数十枚通用型漏洞。 第1章 代码审计基础 (1)
    1.1 Java Web环境搭建 (1)
    1.1.1 Java EE介绍 (1)
    1.1.2 Java EE环境搭建 (1)
    1.2 Java Web动态调试 (18)
    1.2.1 Eclipse动态调试 (19)
    1.2.2 IDEA动态调试程序 (21)
    第2章 常见漏洞审计 (32)
    2.1 SQL注入漏洞 (32)
    2.1.1 SQL注入漏洞简介 (32)
    2.1.2 执行SQL语句的几种方式 (33)
    2.1.3 常见Java SQL注入 (38)
    2.1.4 常规注入代码审计 (46)
    2.1.5 二次注入代码审计 (48)
    2.1.6 SQL注入漏洞修复 (51)
    2.2 任意文件上传漏洞 (53)
    2.2.1 常见文件上传方式 (53)
    2.2.2 文件上传漏洞审计 (56)
    2.2.3 文件上传漏洞修复 (59)
    2.3 XSS漏洞 (61)
    2.3.1 XSS常见触发位置 (61)
    2.3.2 反射型XSS (65)
    2.3.3 存储型XSS (66)
    2.3.4 XSS漏洞修复 (70)
    2.4 目录穿越漏洞 (73)
    2.4.1 目录穿越漏洞简介 (73)
    2.4.2 目录穿越漏洞审计 (74)
    2.4.3 目录穿越漏洞修复 (75)
    2.5 URL跳转漏洞 (76)
    2.5.1 URL重定向 (77)
    2.5.2 URL跳转漏洞审计 (78)
    2.5.3 URL跳转漏洞修复 (79)
    2.6 命令执行漏洞 (80)
    2.6.1 命令执行漏洞简介 (80)
    2.6.2 ProcessBuilder命令执行漏洞 (80)
    2.6.3 Runtime exec命令执行漏洞 (83)
    2.6.4 命令执行漏洞修复 (90)
    2.7 XXE漏洞 (90)
    2.7.1 XML的常见接口 (91)
    2.7.2 XXE漏洞审计 (94)
    2.7.3 XXE漏洞修复 (96)
    2.8 SSRF漏洞 (97)
    2.8.1 SSRF漏洞简介 (97)
    2.8.2 SSRF漏洞常见接口 (98)
    2.8.3 SSRF漏洞审计 (101)
    2.8.4 SSRF漏洞修复 (103)
    2.9 SpEL表达式注入漏洞 (105)
    2.9.1 SpEL介绍 (105)
    2.9.2 SpEL漏洞 (106)
    2.9.3 SpEL漏洞审计 (107)
    2.9.4 SpEL漏洞修复 (109)
    2.10 Java反序列化漏洞 (109)
    2.10.1 Java序列化与反序列化 (110)
    2.10.2 Java反序列化漏洞审计 (113)
    2.10.3 Java反序列化漏洞修复 (116)
    2.11 SSTI模板注入漏洞 (118)
    2.11.1 Velocity模板引擎介绍 (119)
    2.11.2 SSTI漏洞审计 (120)
    2.11.3 SSTI漏洞修复 (121)
    2.12 整数溢出漏洞 (122)
    2.12.1 整数溢出漏洞介绍 (122)
    2.12.2 整数溢出漏洞修复 (122)
    2.13 硬编码密码漏洞 (123)
    2.14 不安全的随机数生成器 (124)

    第3章 常见的框架漏洞 (127)
    3.1 Spring框架 (127)
    3.1.1 Spring介绍 (127)
    3.1.2 第一个Spring MVC项目 (128)
    3.1.3 CVE-2018-1260 Spring Security OAuth2 RCE (139)
    3.1.4 CVE-2018-1273 Spring Data Commons RCE (144)
    3.1.5 CVE-2017-8046 Spring Data Rest RCE (149)
    3.2 Struts2 框架 (156)
    3.2.1 Struts2介绍 (156)
    3.2.2 第一个Struts2项目 (157)
    3.2.3 OGNL表达式介绍 (166)
    3.2.4 S2-045远程代码执行漏洞 (170)
    3.2.5 S2-048远程代码执行漏洞 (179)
    3.2.6 S2-057远程代码执行漏洞 (183)
    第4章 代码审计实战 (190)
    4.1 OFCMS审计案例 (190)
    4.1.1 SQL注入漏洞 (194)
    4.1.2 目录遍历漏洞 (196)
    4.1.3 任意文件上传漏洞 (199)
    4.1.4 模板注入漏洞 (204)
    4.1.5 储存型XSS漏洞 (205)
    4.1.6 CSRF漏洞 (207)
    4.2 MCMS审计案例 (209)
    4.2.1 任意文件上传漏洞 (212)
    4.2.2 任意文件解压 (217)
  • 内容简介:
    本书是奇安信认证网络安全工程师培训教材之一,目的是为网络安全行业培养合格的人才。网络安全人才的培养是一项艰巨的任务,其中代码审计人才更是“稀缺资源”。本书分为4章。第1章代码审计基础,内容包括基础Java开发环境搭建、代码审计环境搭建。第2章常见漏洞审计,介绍了多种常见漏洞的成因以及审计和修复的技巧。第3章常见的框架漏洞,介绍了Java开发中经常使用的一些框架的典型漏洞,如Spring、Struts2等的命令执行漏洞。第4章代码审计实战,通过对真实环境下的Java应用程序进行审计,向读者详细介绍了Java代码审计的技巧与方法。本书可供软件开发工程师、网络运维人员、渗透测试工程师、网络安全工程师,以及想要从事网络安全工作的人员阅读。
  • 作者简介:
    高昌盛:奇安信集团奇物安全实验室安全研究员,主要从事Web安全与物联网安全研究方向。国内知名CTF战队W&M战队队长,白帽一百安全团队负责人,DEFCON GROUP 0571发起人。曾多次在各类安全沙龙进行演讲,获得过多个***CTF竞赛一等奖。闵海钊:奇安信集团认证培训部技术经理,安全组织defcon group 0531发起人之一,第二届\"蓝帽杯\"全国大学生网络安全技能大赛专家组组长,教育部ECSP认证讲师,在CVE、CNNVD、CNVD提交多个高危原创漏洞,取得教育部信息安全对团体抗赛一等奖、中国信息安全技能大赛二等奖证书等多个CTF比赛奖项。孙基栩:山东大学网络空间安全实验室成员,红日安全团队核心成员,Defcon group Speaker、360Bugcloud荣誉讲师。主要研究方向为工控安全、红蓝对抗,曾在各大漏洞平台提交并审核通过数十枚通用型漏洞。
  • 目录:
    第1章 代码审计基础 (1)
    1.1 Java Web环境搭建 (1)
    1.1.1 Java EE介绍 (1)
    1.1.2 Java EE环境搭建 (1)
    1.2 Java Web动态调试 (18)
    1.2.1 Eclipse动态调试 (19)
    1.2.2 IDEA动态调试程序 (21)
    第2章 常见漏洞审计 (32)
    2.1 SQL注入漏洞 (32)
    2.1.1 SQL注入漏洞简介 (32)
    2.1.2 执行SQL语句的几种方式 (33)
    2.1.3 常见Java SQL注入 (38)
    2.1.4 常规注入代码审计 (46)
    2.1.5 二次注入代码审计 (48)
    2.1.6 SQL注入漏洞修复 (51)
    2.2 任意文件上传漏洞 (53)
    2.2.1 常见文件上传方式 (53)
    2.2.2 文件上传漏洞审计 (56)
    2.2.3 文件上传漏洞修复 (59)
    2.3 XSS漏洞 (61)
    2.3.1 XSS常见触发位置 (61)
    2.3.2 反射型XSS (65)
    2.3.3 存储型XSS (66)
    2.3.4 XSS漏洞修复 (70)
    2.4 目录穿越漏洞 (73)
    2.4.1 目录穿越漏洞简介 (73)
    2.4.2 目录穿越漏洞审计 (74)
    2.4.3 目录穿越漏洞修复 (75)
    2.5 URL跳转漏洞 (76)
    2.5.1 URL重定向 (77)
    2.5.2 URL跳转漏洞审计 (78)
    2.5.3 URL跳转漏洞修复 (79)
    2.6 命令执行漏洞 (80)
    2.6.1 命令执行漏洞简介 (80)
    2.6.2 ProcessBuilder命令执行漏洞 (80)
    2.6.3 Runtime exec命令执行漏洞 (83)
    2.6.4 命令执行漏洞修复 (90)
    2.7 XXE漏洞 (90)
    2.7.1 XML的常见接口 (91)
    2.7.2 XXE漏洞审计 (94)
    2.7.3 XXE漏洞修复 (96)
    2.8 SSRF漏洞 (97)
    2.8.1 SSRF漏洞简介 (97)
    2.8.2 SSRF漏洞常见接口 (98)
    2.8.3 SSRF漏洞审计 (101)
    2.8.4 SSRF漏洞修复 (103)
    2.9 SpEL表达式注入漏洞 (105)
    2.9.1 SpEL介绍 (105)
    2.9.2 SpEL漏洞 (106)
    2.9.3 SpEL漏洞审计 (107)
    2.9.4 SpEL漏洞修复 (109)
    2.10 Java反序列化漏洞 (109)
    2.10.1 Java序列化与反序列化 (110)
    2.10.2 Java反序列化漏洞审计 (113)
    2.10.3 Java反序列化漏洞修复 (116)
    2.11 SSTI模板注入漏洞 (118)
    2.11.1 Velocity模板引擎介绍 (119)
    2.11.2 SSTI漏洞审计 (120)
    2.11.3 SSTI漏洞修复 (121)
    2.12 整数溢出漏洞 (122)
    2.12.1 整数溢出漏洞介绍 (122)
    2.12.2 整数溢出漏洞修复 (122)
    2.13 硬编码密码漏洞 (123)
    2.14 不安全的随机数生成器 (124)

    第3章 常见的框架漏洞 (127)
    3.1 Spring框架 (127)
    3.1.1 Spring介绍 (127)
    3.1.2 第一个Spring MVC项目 (128)
    3.1.3 CVE-2018-1260 Spring Security OAuth2 RCE (139)
    3.1.4 CVE-2018-1273 Spring Data Commons RCE (144)
    3.1.5 CVE-2017-8046 Spring Data Rest RCE (149)
    3.2 Struts2 框架 (156)
    3.2.1 Struts2介绍 (156)
    3.2.2 第一个Struts2项目 (157)
    3.2.3 OGNL表达式介绍 (166)
    3.2.4 S2-045远程代码执行漏洞 (170)
    3.2.5 S2-048远程代码执行漏洞 (179)
    3.2.6 S2-057远程代码执行漏洞 (183)
    第4章 代码审计实战 (190)
    4.1 OFCMS审计案例 (190)
    4.1.1 SQL注入漏洞 (194)
    4.1.2 目录遍历漏洞 (196)
    4.1.3 任意文件上传漏洞 (199)
    4.1.4 模板注入漏洞 (204)
    4.1.5 储存型XSS漏洞 (205)
    4.1.6 CSRF漏洞 (207)
    4.2 MCMS审计案例 (209)
    4.2.1 任意文件上传漏洞 (212)
    4.2.2 任意文件解压 (217)
查看详情
相关分类
计算机理论 编程与开发 操作系统 大数据与云计算 图形图像/多媒体 网站设计与网页开发 网络与通讯 硬件、嵌入式开发 办公软件 信息安全 辅助设计与工程计算 软件工程/开发项目管理
相关图书 / 更多
网络安全Java代码审计实战
网络安全与信息化发展路径研究
余学锋
46.06
网络安全Java代码审计实战
网络信息架构与图标创意
邝家瑞
21.18
网络安全Java代码审计实战
网络支付与结算(第4版)
尚小溥
30.00
网络安全Java代码审计实战
网络自我互动:网络思想政治教育人的内在生存与发展(高校思想政治工作研究文库)
丁科 著
40.96
网络安全Java代码审计实战
网络爬取与法律规制
赵自轩
35.68
网络安全Java代码审计实战
网络谣言辨别的素养提升
杨峰
11.78
网络安全Java代码审计实战
网络营销实务(职业院校活页式系列教材)
阮伟卿 编
11.00
网络安全Java代码审计实战
网络虚拟财产:权利的消解与再造(数字法治与数字中国丛书)
赵自轩
35.00
网络安全Java代码审计实战
网络英雄传4 破局(上下两册) (公海游轮上的死亡游戏,牵出一桩三十年前的旧案,以复仇为名,跨洲追击,谜团接踵而至,意外纷至沓来。)
郭羽 刘波 著
50.00
网络安全Java代码审计实战
网络法
[日]松井茂记 编, [日]铃木秀美,[日]山口淑子 著, 周英,马燕菁 译
27.68
网络安全Java代码审计实战
网络慈善募捐创新及法律回应
沈国琴
20.32
网络安全Java代码审计实战
网络安全等级保护2.0与企业合规
李尤
55.98
© 2002-2024 Kongfz.com 孔夫子旧书网 版权所有
关于孔网 联系我们 帮助中心 版权隐私 广告业务 工作机会 移动版 图书目录 图书标签 热搜书籍 作家大全