1.本书详细介绍了代码审计的原理、技术和工具,帮助读者深入了解代码审计的基本概念和方法,为实际应用奠定坚实的基础。
2.本书深入讲解了C/C++安全标准,通过实际案例分析,展示了与标准不兼容和兼容的情况,帮助读者更好地理解和运用安全标准,提高代码质量。
3.本书提供了丰富的C/C++源代码漏洞测试案例,展示了如何发现和修复安全漏洞,帮助读者提高代码安全性,降低潜在风险。
编辑推荐
内容推荐
本书旨在介绍代码审计及缺陷剖析的相关知识。本书首先介绍了代码检测技术和代码检测工具;然后讲述了C/C++安全标准,展示了与标准不兼容的案例和兼容的案例,并对案例对应的知识点进行讲解,以帮助开发人员、评测人员理解和运用标准;接着分析了C/C++语言源代码漏洞测试,展示了包含安全漏洞的案例,以及修复安全漏洞的案例;最后介绍了常见运行时缺陷,主要基于C/C++案例代码进行剖析,这些运行时缺陷是在对C/C++项目进行代码检测和代码审计时需要重点关注的。
本书不仅适合开发人员、测试人员阅读,还适合作为相关培训机构的教材。
本书不仅适合开发人员、测试人员阅读,还适合作为相关培训机构的教材。
目录
第1章代码检测和工具1
1.1背景1
1.2代码审计1
1.2.1代码审计的思路2
1.2.2代码审计的步骤2
1.2.3安全审计的标准3
1.2.4代码审计中的常见概念5
1.3代码检测工具5
1.3.1代码检测工具的原理6
1.3.2代码检测技术7
1.3.3代码检测的主要方法9
1.3.4代码检测工具的主要功能14
1.3.5常见的代码检测工具14
1.3.6代码检测工具的评价基准16
1.4软件成分分析工具19
1.4.1软件成分分析工具的原理20
1.4.2软件成分分析工具使用的关键技术21
1.4.3SCA工具技术指标27
1.5如何成为一名代码安全检测工程师27
1.6代码安全审计检测练习靶场28
第2章C语言安全标准(一)30
2.1C语言安全标准产生的背景30
2.2如何理解和使用GJB8114标准30
2.3C和C++的共用规则31
2.3.1声明定义规则31
2.3.2版面书写规则57
2.3.3指针使用规则63
2.3.4分支控制规则77
2.3.5跳转控制规则91
2.3.6运算处理93
2.3.7函数调用113
第3章C语言安全标准(二)127
3.1关于语句使用的规则127
3.1.1关于循环控制的规则131
3.1.2关于类型转换的规则135
3.1.3关于初始化的规则141
3.1.4关于比较判断的规则146
3.1.5关于变量使用的规则152
3.2C++的专用规则162
3.2.1关于类与对象的强制规则162
3.2.2关于构造函数的强制规则169
3.2.3关于虚函数的强制规则173
3.2.4关于类型转换的强制规则176
3.2.5关于内存释放的强制规则177
第4章CC++语言源代码漏洞测试规范180
4.1不可控的内存分配180
4.2路径错误181
4.3数据处理182
4.3.1相对路径遍历182
4.3.2绝对路径遍历184
4.3.3命令行注入185
4.3.4SQL注入186
4.3.5进程控制188
4.3.6缓冲区溢出189
4.3.7使用外部控制的格式化字符串189
4.3.8整数溢出190
4.3.9信息通过错误消息泄露191
4.3.10信息通过服务器日志文件泄露192
4.3.11信息通过调试日志文件泄露193
4.3.12以未检查的输入作为循环条件193
4.4错误的API实现194
4.5劣质代码195
4.6不充分的封装196
4.7安全功能197
4.7.1明文存储密码197
4.7.2存储可恢复的密码197
4.7.3密码硬编码198
4.7.4明文传输敏感信息199
4.7.5使用已破解或危险的加密算法199
4.7.6可逆的哈希算法200
4.7.7密码分组链接模式未使用随机初始化向量201
4.7.8不充分的随机数202
4.7.9安全关键的行为依赖反向域名解析203
4.7.10没有要求使用强密码204
4.7.11没有对密码域进行掩饰205
4.7.12通过用户控制的SQL关键字绕过授权206
4.7.13未使用盐值计算哈希值207
4.7.14RSA算法未使用很优非对称加密填充208
4.8Web问题209
第5章常见运行时缺陷211
5.1缓冲区溢出211
5.1.1缓冲区溢出的原理211
5.1.2防范缓冲区溢出216
5.1.3栈缓冲区溢出216
5.1.4缓冲区溢出案例217
5.2内存泄漏223
5.2.1内存泄漏的原理223
5.2.2内存泄漏案例224
5.3代码不可达235
5.4整数溢出或环绕236
5.5资源泄露237
5.6线程死锁238
5.6.1加锁后未判断是否成功238
5.6.2线程死锁239
5.6.3加锁后未解锁240
5.7无限循环240
5.7.1可能不变的循环因子240
5.7.2循环跳出条件无法满足241
5.7.3函数循环调用241
5.7.4控制表达式有逻辑错误241
5.7.5以外部输入作为循环跳出条件242
1.1背景1
1.2代码审计1
1.2.1代码审计的思路2
1.2.2代码审计的步骤2
1.2.3安全审计的标准3
1.2.4代码审计中的常见概念5
1.3代码检测工具5
1.3.1代码检测工具的原理6
1.3.2代码检测技术7
1.3.3代码检测的主要方法9
1.3.4代码检测工具的主要功能14
1.3.5常见的代码检测工具14
1.3.6代码检测工具的评价基准16
1.4软件成分分析工具19
1.4.1软件成分分析工具的原理20
1.4.2软件成分分析工具使用的关键技术21
1.4.3SCA工具技术指标27
1.5如何成为一名代码安全检测工程师27
1.6代码安全审计检测练习靶场28
第2章C语言安全标准(一)30
2.1C语言安全标准产生的背景30
2.2如何理解和使用GJB8114标准30
2.3C和C++的共用规则31
2.3.1声明定义规则31
2.3.2版面书写规则57
2.3.3指针使用规则63
2.3.4分支控制规则77
2.3.5跳转控制规则91
2.3.6运算处理93
2.3.7函数调用113
第3章C语言安全标准(二)127
3.1关于语句使用的规则127
3.1.1关于循环控制的规则131
3.1.2关于类型转换的规则135
3.1.3关于初始化的规则141
3.1.4关于比较判断的规则146
3.1.5关于变量使用的规则152
3.2C++的专用规则162
3.2.1关于类与对象的强制规则162
3.2.2关于构造函数的强制规则169
3.2.3关于虚函数的强制规则173
3.2.4关于类型转换的强制规则176
3.2.5关于内存释放的强制规则177
第4章CC++语言源代码漏洞测试规范180
4.1不可控的内存分配180
4.2路径错误181
4.3数据处理182
4.3.1相对路径遍历182
4.3.2绝对路径遍历184
4.3.3命令行注入185
4.3.4SQL注入186
4.3.5进程控制188
4.3.6缓冲区溢出189
4.3.7使用外部控制的格式化字符串189
4.3.8整数溢出190
4.3.9信息通过错误消息泄露191
4.3.10信息通过服务器日志文件泄露192
4.3.11信息通过调试日志文件泄露193
4.3.12以未检查的输入作为循环条件193
4.4错误的API实现194
4.5劣质代码195
4.6不充分的封装196
4.7安全功能197
4.7.1明文存储密码197
4.7.2存储可恢复的密码197
4.7.3密码硬编码198
4.7.4明文传输敏感信息199
4.7.5使用已破解或危险的加密算法199
4.7.6可逆的哈希算法200
4.7.7密码分组链接模式未使用随机初始化向量201
4.7.8不充分的随机数202
4.7.9安全关键的行为依赖反向域名解析203
4.7.10没有要求使用强密码204
4.7.11没有对密码域进行掩饰205
4.7.12通过用户控制的SQL关键字绕过授权206
4.7.13未使用盐值计算哈希值207
4.7.14RSA算法未使用很优非对称加密填充208
4.8Web问题209
第5章常见运行时缺陷211
5.1缓冲区溢出211
5.1.1缓冲区溢出的原理211
5.1.2防范缓冲区溢出216
5.1.3栈缓冲区溢出216
5.1.4缓冲区溢出案例217
5.2内存泄漏223
5.2.1内存泄漏的原理223
5.2.2内存泄漏案例224
5.3代码不可达235
5.4整数溢出或环绕236
5.5资源泄露237
5.6线程死锁238
5.6.1加锁后未判断是否成功238
5.6.2线程死锁239
5.6.3加锁后未解锁240
5.7无限循环240
5.7.1可能不变的循环因子240
5.7.2循环跳出条件无法满足241
5.7.3函数循环调用241
5.7.4控制表达式有逻辑错误241
5.7.5以外部输入作为循环跳出条件242
- 第四叶
- 星域长歌
- 鹤冲天
- 八楼姑娘
- 【快穿】逆袭炮灰
- 魔道祖师穿越
- 小玉向前走[综]
- 审判者
- 经年未染
- 君顾
- 烛溪
- 何处是潇湘(旧文新更)
- 斯內卜──最深情的無情
- 等他自己情愿
- 致作者大大
- 评《[网王]情非竹马》
- 很多人还没意识到,宁远侯府的天变了
- 评《温度》
- 错的人
- 网王白石BG 九分钟(生日贺文)
- 雪国精灵之于你条千零一夜的舞
- 情牵一生
- 那些男主们
- 天下无穿
- 评《(综漫主圣斗士)染色》
- 江苏省大学生计算机等级考试系统
- 魔方小助手
- itunes(64位)
- 猎豹免费wifi
- 谷歌浏览器 Google Chrome
- 谷歌浏览器Google Chrome (64位)
- 12306Bypass
- xy刷机助手
- 火绒互联网安全软件
- 天行广告防火墙
- 怪物猎人世界冰原毛茸茸的GuKu吊坠MOD v3.17
- GTA5奥迪R8MOD v1.3
- 欧洲卡车模拟2取消工作免费无罚款MOD v2.3
- 饥荒大大大灯泡辅助MOD v2.4
- 巫师3狂猎狩魔猎人盔甲4K纹理MOD v2.3
- 龙珠超宇宙2孙悟空极限形态MOD v2.3
- 讨鬼传极二十项修改器 v3.4
- 小苹果活动助手网页版 v1.76
- 博德之门3无限施法完整版MOD v2.37
- 骑马与砍杀2斯特格披风MOD v3.55
- invertebrate
- inverted commas
- inverted snob
- invest
- investigate
- investigation
- investigative
- investigative journalism
- investigator
- investiture
- [BT下载][飘洋过海再爱你][第01-04集][WEB-MKV/5.50G][国语配音/中文字幕][4K-2160P][H265][流媒体][BlackTV] 剧集 2023 大陆 剧情 连载
- [BT下载][神隐][第27集][WEB-MKV/0.71G][国语音轨/简繁英字幕][1080P][流媒体][BlackTV] 剧集 2023 大陆 剧情 连载
- [BT下载][神隐][第27集][WEB-MKV/1.25G][国语音轨/简繁英字幕][4K-2160P][H265][流媒体][BlackTV] 剧集 2023 大陆 剧情 连载
- [BT下载][繁花][第03-06集][WEB-MKV/6.70G][国语配音/中文字幕][4K-2160P][H265][流媒体][BlackTV] 剧集 2023 大陆 剧情 连载
- [BT下载][繁花][第05-06集][WEB-MP4/0.72G][国语配音/中文字幕][1080P][H265][流媒体][ZeroTV] 剧集 2023 大陆 剧情 连载
- [BT下载][繁花][第05-06集][WEB-MKV/3.19G][国语配音/中文字幕][4K-2160P][H265][流媒体][ZeroTV] 剧集 2023 大陆 剧情 连载
- [BT下载][繁花][第05集][WEB-MP4/0.34G][国语配音/中文字幕][1080P][H265][流媒体][ZeroTV] 剧集 2023 大陆 剧情 连载
- [BT下载][繁花][第05集][WEB-MKV/1.53G][国语配音/中文字幕][4K-2160P][H265][流媒体][ZeroTV] 剧集 2023 大陆 剧情 连载
- [BT下载][繁花][第05集][WEB-MKV/1.53G][国语配音/中文字幕][4K-2160P][H265][流媒体][ZeroTV] 剧集 2023 大陆 剧情 连载
- [BT下载][繁花][第05集][WEB-MKV/1.53G][国语配音/中文字幕][4K-2160P][H265][流媒体][ZeroTV] 剧集 2023 大陆 剧情 连载
- QQ勋章墙在哪?QQ勋章墙查看方法
- 百度app怎么打开智能小程序?百度app打开智能小程序的方法
- MathType怎么输入余弦函数?
- 学习强国怎么上传文件?
- 酷狗音乐如何关闭流量提醒?
- 游戏加加会员怎么开通?游戏加加会员开通方法简述
- 钉钉勋章在哪看?钉钉勋章查看方法
- WeGame手动截图快捷键怎么修改?WeGame手动截图快捷键修改方法
- MathType怎么调整子下标大小?
- 学习强国怎么添加特别关注?学习强国将好友设为特别关心的方法