书籍详情
软件安全开发指南:应用软件安全级别验证参考标准
作者:[美] OWASP基金会 著
出版社:电子工业出版社
出版时间:2018-03-01
ISBN:9787121338496
定价:¥36.00
购买这本书可以去
内容简介
本书系统性地介绍了OWASP安全组织研究总结的应用安全验证标准,为软件开发过程中的安全控制措施开发提供直接指导与必要参考。全书分为两大部分:第一部分介绍了应用安全验证要求的使用方法和参考案例。第二部分详细介绍了19项安全控制措施的验证要求,并针对每种安全验证介绍了不同级别的控制目标和详细要求。本书旨在帮助相关软件开发企业机构和团队提升有关应用软件安全开发的相关意识;并在应用软件设计、开发和测试过程中,能明确对功能性和非功能性安全控制的要求。本书适合软件开发企业的管理人员和执行人员,从事软件安全开发相关的专业人员,以及高等院校软件工程、信息安全、信息管理等专业的研究生、本科生学习和参考。
作者简介
OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究,在业界具有一流的影响力和**性。作为OWASP面向中国的区域分支,OWASP中国自2006年正式启动,目前已拥有来自互联网安全专业领域和政府、电信、金融、教育等相关领域的会员5000多名,形成了强大的专业技术实力和行业资源聚集能力,有力推动了安全标准、安全测试工具、安全指导手册等应用安全技术在中国的发展,成为了积极推动中国互联网安全技术创新、人才培养和行业发展的中坚力量。作为OWASP中国的运营中心,互联网安全研究中心(Security Zone,简称SecZone)是国内**独立、开源的互联网安全研究机构。中心始终秉持引入、吸收、创新的发展宗旨,专注于互联网安全前沿技术和OWASP项目的深度研究,常年组织开展各类开源培训及沙龙活动,致力于通过对国内外技术、资源的整合、应用和创新,更好地服务业界同仁、服务行业发展,更有力地推动国内互联网安全技术的进步与升级。
目录
第一篇 ASVS概述
第1章 使用应用安全验证标准\t2
1.1 应用安全验证级别\t3
1.2 如何使用这个标准\t4
1.3 在实践中应用ASVS\t7
第2章 评估软件是否达到验证水平\t10
2.1 使用指导\t11
2.2 自动渗透测试工具的作用\t12
2.3 渗透测试的作用\t12
2.4 用作详细的安全架构指导\t13
2.5 用作现有安全编码清单的替代\t13
2.6 用作自动化单元和集成测试指南\t14
2.7 用作安全开发培训\t14
第二篇 ASVS详解
第3章 V1:架构、设计和威胁建模\t16
3.1 控制目标\t17
3.2 验证要求\t17
3.3 参考文献\t19
第4章 V2:认证\t20
4.1 控制目标\t21
4.2 验证要求\t21
4.3 参考文献\t24
第5章 V3:会话管理\t26
5.1 控制目标\t27
5.2 验证要求\t27
5.3 参考文献\t29
第6章 V4:访问控制\t30
6.1 控制目标\t31
6.2 验证要求\t31
6.3 参考文献\t33
第7章 V5:恶意输入处理\t34
7.1 控制目标\t35
7.2 验证要求\t35
7.3 参考文献\t38
第8章 V6:密码学安全\t40
8.1 控制目标\t41
8.2 验证要求\t41
8.3 参考文献\t43
第9章 V7:错误处理和日志记录\t44
9.1 控制目标\t45
9.2 验证要求\t46
9.3 参考文献\t48
第10章 V8:数据保护\t49
10.1 控制目标\t50
10.2 验证要求\t51
10.3 参考文献\t52
第11章 V9:通信安全\t53
11.1 控制目标\t54
11.2 验证要求\t54
11.3 参考文献\t56
第12章 V10:HTTP安全配置\t58
12.1 控制目标\t59
12.2 验证要求\t59
12.3 参考文献\t60
第13章 V11:恶意控件\t62
13.1 控制目标\t63
13.2 验证要求\t63
13.3 参考文献\t64
第14章 V12:业务逻辑\t65
14.1 控制目标\t66
14.2 验证要求\t66
14.3 参考文献\t67
第15章 V13:文件和资源\t68
15.1 控制目标\t69
15.2 验证要求\t69
15.3 参考文献\t70
第16章 V14:移动应用程序\t71
16.1 控制目标\t72
16.2 验证要求\t72
16.3 参考文献\t74
第17章 V15:Web服务\t75
17.1 控制目标\t76
17.2 验证要求\t76
17.3 参考文献\t78
第18章 V16:安全配置\t79
18.1 控制目标\t80
18.2 验证要求\t80
18.3 参考文献\t81
第三篇 ASVS实践案例分析
第19章 ASVS的实践案例\t83
19.1 案例1:作为安全测试指南使用\t84
19.2 案例2:作为SDLC的实施指导\t86
附 录
附录A 名词解释\t89
附录B 参考文献\t95
附录C 标准映射\t97
附录D ASVS术语表\t99
附录E 采用ASVS的OWASP项目\t104
附录F OWASP安全编码规范快速参考指南\t106
第1章 使用应用安全验证标准\t2
1.1 应用安全验证级别\t3
1.2 如何使用这个标准\t4
1.3 在实践中应用ASVS\t7
第2章 评估软件是否达到验证水平\t10
2.1 使用指导\t11
2.2 自动渗透测试工具的作用\t12
2.3 渗透测试的作用\t12
2.4 用作详细的安全架构指导\t13
2.5 用作现有安全编码清单的替代\t13
2.6 用作自动化单元和集成测试指南\t14
2.7 用作安全开发培训\t14
第二篇 ASVS详解
第3章 V1:架构、设计和威胁建模\t16
3.1 控制目标\t17
3.2 验证要求\t17
3.3 参考文献\t19
第4章 V2:认证\t20
4.1 控制目标\t21
4.2 验证要求\t21
4.3 参考文献\t24
第5章 V3:会话管理\t26
5.1 控制目标\t27
5.2 验证要求\t27
5.3 参考文献\t29
第6章 V4:访问控制\t30
6.1 控制目标\t31
6.2 验证要求\t31
6.3 参考文献\t33
第7章 V5:恶意输入处理\t34
7.1 控制目标\t35
7.2 验证要求\t35
7.3 参考文献\t38
第8章 V6:密码学安全\t40
8.1 控制目标\t41
8.2 验证要求\t41
8.3 参考文献\t43
第9章 V7:错误处理和日志记录\t44
9.1 控制目标\t45
9.2 验证要求\t46
9.3 参考文献\t48
第10章 V8:数据保护\t49
10.1 控制目标\t50
10.2 验证要求\t51
10.3 参考文献\t52
第11章 V9:通信安全\t53
11.1 控制目标\t54
11.2 验证要求\t54
11.3 参考文献\t56
第12章 V10:HTTP安全配置\t58
12.1 控制目标\t59
12.2 验证要求\t59
12.3 参考文献\t60
第13章 V11:恶意控件\t62
13.1 控制目标\t63
13.2 验证要求\t63
13.3 参考文献\t64
第14章 V12:业务逻辑\t65
14.1 控制目标\t66
14.2 验证要求\t66
14.3 参考文献\t67
第15章 V13:文件和资源\t68
15.1 控制目标\t69
15.2 验证要求\t69
15.3 参考文献\t70
第16章 V14:移动应用程序\t71
16.1 控制目标\t72
16.2 验证要求\t72
16.3 参考文献\t74
第17章 V15:Web服务\t75
17.1 控制目标\t76
17.2 验证要求\t76
17.3 参考文献\t78
第18章 V16:安全配置\t79
18.1 控制目标\t80
18.2 验证要求\t80
18.3 参考文献\t81
第三篇 ASVS实践案例分析
第19章 ASVS的实践案例\t83
19.1 案例1:作为安全测试指南使用\t84
19.2 案例2:作为SDLC的实施指导\t86
附 录
附录A 名词解释\t89
附录B 参考文献\t95
附录C 标准映射\t97
附录D ASVS术语表\t99
附录E 采用ASVS的OWASP项目\t104
附录F OWASP安全编码规范快速参考指南\t106
猜您喜欢
