软件安全技术【2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载】

软件安全技术PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 软件安全概述1

1.1 软件安全的重要性1

【案例1】零日攻击、网络战与软件安全1

【案例1思考与分析】2

1.2 软件面临的安全威胁6

1.2.1 软件漏洞6

1.2.2 恶意代码7

1.2.3 软件侵权8

1.3 软件安全的概念8

1.3.1 软件安全的一些定义8

1.3.2 用信息安全的基本属性理解软件安全9

1.3.3 软件安全相关概念辨析12

1.4 软件安全的研究内容16

1.4.1 软件安全是信息安全保障的重要内容16

1.4.2 软件安全的主要方法和技术18

1.5 思考与实践20

1.6 学习目标检验21

第2章 软件漏洞概述22

2.1 软件漏洞的概念22

2.1.1 信息安全漏洞22

2.1.2 软件漏洞23

2.1.3 软件漏洞成因分析26

2.2 软件漏洞标准化管理28

2.2.1 软件漏洞的分类29

2.2.2 软件漏洞的分级30

2.2.3 软件漏洞管理国际标准32

2.2.4 软件漏洞管理国内标准35

2.3 漏洞管控的思考37

【案例2-1】白帽黑客的罪与罚37

【案例2-2】阿里巴巴月饼门37

【案例2-1和案例2-2思考与分析】38

2.4 思考与实践41

2.5 学习目标检验42

第3章 Windows系统典型漏洞分析43

3.1 内存漏洞43

3.1.1 内存结构及缓冲区溢出43

3.1.2 栈溢出漏洞及利用分析44

3.1.3 堆溢出漏洞及利用分析55

3.1.4 格式化字符串漏洞及利用分析59

3.2 Windows安全漏洞保护分析63

3.2.1 栈溢出检测选项／GS63

3.2.2 数据执行保护DEP64

3.2.3 地址空间布局随机化ASLR66

3.2.4 安全结构化异常处理SafeSEH67

3.2.5 增强缓解体验工具包EMET68

【案例3】Windows安全漏洞保护技术应用69

【案例3思考与分析】69

3.3 思考与实践73

3.4 学习目标检验74

第4章 Web漏洞分析75

4.1 Web基础75

4.1.1 Web基本架构75

4.1.2 一次Web访问过程分析76

4.2 Web漏洞概述77

4.3 SQL注入漏洞80

4.3.1 漏洞原理及利用81

4.3.2 漏洞防护的基本措施84

【案例4-1】SQL注入漏洞源代码层分析85

【案例4-1思考与分析】86

4.4 XSS跨站脚本漏洞93

4.4.1 漏洞原理及利用93

4.4.2 漏洞防护的基本措施97

【案例4-2】XSS漏洞源代码层分析98

【案例4-2思考与分析】98

4.5 CSRF跨站请求伪造漏洞104

4.5.1 漏洞原理及利用104

4.5.2 漏洞防护的基本措施105

4.6 其他Web漏洞107

4.6.1 命令执行漏洞原理及利用107

4.6.2 文件包含漏洞原理及利用107

4.6.3 文件上传漏洞原理及利用108

4.7 思考与实践109

4.8 学习目标检验112

第5章 软件安全开发模型113

5.1 软件开发模型113

5.1.1 软件生命周期113

5.1.2 软件过程与软件开发模型114

5.2 软件安全开发模型116

5.2.1 微软的软件安全开发生命周期模型116

5.2.2 McGraw的软件内建安全开发模型123

5.2.3 NIST的软件安全开发生命周期模型125

5.2.4 OWASP的软件安全开发模型126

5.2.5 软件安全开发模型特点比较130

【案例5】Web应用漏洞消减模型设计132

【案例5思考与分析】132

5.3 思考与实践134

5.4 学习目标检验135

第6章 软件安全需求分析137

6.1 软件需求分析与软件安全需求分析137

6.1.1 软件需求分析的主要工作137

6.1.2 软件安全需求分析的主要工作138

6.2 软件安全需求的来源140

6.2.1 软件安全需求的来源分类140

6.2.2 软件安全遵从性需求141

6.3 软件安全需求的获取149

6.3.1 软件安全需求获取相关方149

6.3.2 软件安全需求获取方法149

【案例6】一个在线学习系统的安全需求分析152

【案例6思考与分析】152

6.4 思考与实践158

6.5 学习目标检验159

第7章 软件安全设计160

7.1 软件设计与软件安全设计160

7.1.1 软件设计的主要工作160

7.1.2 软件安全设计的主要工作161

7.2 软件安全设计原则163

7.2.1 经典安全设计原则条目163

7.2.2 安全设计原则介绍165

7.3 软件安全功能设计170

7.3.1 一个基本Web应用系统的安全功能设计170

7.3.2 基于安全模式的软件安全设计176

7.4 威胁建模178

7.4.1 威胁建模的概念178

7.4.2 威胁建模的过程180

【案例7】对一个简单的Web应用系统进行威胁建模188

【案例7思考与分析】188

7.5 思考与实践191

7.6 学习目标检验192

第8章 软件安全编码193

8.1 软件安全编码概述193

8.1.1 软件安全编码的主要工作193

8.1.2 软件安全编码的基本原则195

8.2 开发语言的安全性197

8.2.1 C语言安全编码197

8.2.2 Java语言安全编码199

8.3 安全编码实践201

8.3.1 输入验证201

8.3.2 数据净化202

8.3.3 错误信息输出保护203

8.3.4 数据保护204

8.3.5 其他安全编码实践206

【案例8】基于OpenSSL的C／S安全通信程序207

【案例8思考与分析】208

8.4 思考与实践211

8.5 学习目标检验213

第9章 软件安全测试214

9.1 软件测试与软件安全测试214

9.1.1 软件测试的主要工作214

9.1.2 软件安全测试的主要工作215

9.2 软件安全功能测试218

9.3 代码分析221

9.3.1 代码静态分析与代码动态分析的概念221

9.3.2 源代码静态分析的一般过程223

9.3.3 源代码静态分析工具224

9.4 模糊测试226

9.4.1 模糊测试的概念226

9.4.2 模糊测试过程228

9.4.3 模糊测试工具230

9.5 渗透测试231

9.5.1 渗透测试的概念231

9.5.2 渗透测试过程232

9.5.3 渗透测试工具233

【案例9】Web应用安全测试与安全评估234

【案例9思考与分析】235

9.6 思考与实践238

9.7 学习目标检验240

第10章 软件安全部署241

10.1 软件部署与安全241

10.1.1 软件部署的主要工作241

10.1.2 软件安全部署的主要工作243

10.2 软件安装配置安全与运行安全243

10.2.1 软件安装配置安全243

10.2.2 软件运行安全244

10.3 软件运行环境安全配置与运行安全245

10.3.1 基础环境软件的安全配置245

10.3.2 基础环境软件漏洞监测与修复246

【案例10】SSL／TIS协议的安全实现与安全部署246

【案例10思考与分析】246

10.4 思考与实践248

10.5 学习目标检验248

第11章 恶意代码分析基础249

11.1 计算机启动过程249

11.1.1 计算机初始化启动过程及其安全性分析249

11.1.2 操作系统启动过程及其安全性分析252

11.2 程序的生成和运行255

11.2.1 程序生成和运行的典型过程255

11.2.2 编译／链接与程序的构建256

11.2.3 加载与程序的运行258

11.3 PE文件259

11.3.1 PE文件的概念259

11.3.2 PE文件的结构260

11.3.3 地址映射262

11.3.4 导入函数地址表和导入表265

【案例11-1】构造一个PE格式的可执行文件270

【案例11-1思考与分析】271

11.4 程序的逆向分析280

11.4.1 逆向工程280

11.4.2 逆向工程相关工具及应用285

【案例11-2】OllyDbg逆向分析应用290

【案例11-2思考与分析】290

【案例11-3】IDA逆向分析应用295

【案例11-3思考与分析】295

11.5 思考与实践302

11.6 学习目标检验304

第12章 恶意代码防治305

12.1 恶意代码机理分析305

12.1.1 计算机病毒305

12.1.2 蠕虫307

12.1.3 木马308

12.1.4 后门312

12.1.5 Rootkit313

12.1.6 勒索软件315

12.1.7 恶意代码技术的发展316

【案例12】WannaCry勒索软件分析317

【案例12思考与分析】318

12.2 恶意代码涉及的法律问题与防治管理321

12.2.1 恶意代码涉及的法律问题321

12.2.2 恶意代码防治管理329

12.3 面向恶意代码检测的软件可信验证331

12.3.1 软件可信验证模型332

12.3.2 特征可信验证332

12.3.3 身份（来源）可信验证334

12.3.4 能力（行为）可信验证336

12.3.5 运行环境可信验证340

12.4 思考与实践341

12.5 学习目标检验343

第13章 开源软件及其安全性344

13.1 开源软件概述344

13.1.1 软件分类344

13.1.2 开源软件的概念346

13.1.3 开源软件受到追捧的原因350

13.2 开源软件的知识产权351

13.2.1 开源软件涉及的主要权益351

13.2.2 开源软件的授权模式353

【案例13】主流开源许可证应用分析356

【案例13思考与分析】357

13.3 开源软件的安全性反思357

13.4 思考与实践360

13.5 学习目标检验360

第14章 软件知识产权保护362

14.1 软件知识产权的法律保护362

14.1.1 软件的知识产权362

14.1.2 软件知识产权的法律保护途径363

【案例14-1】对iOS系统越狱行为的分析365

【案例14-1思考与分析】366

14.2 软件版权的技术保护366

14.2.1 软件版权的技术保护目标及基本原则366

14.2.2 软件版权保护的基本技术367

【案例14-2】.NET平台下的软件版权保护374

【案例14-2思考与分析】375

14.2.3 云环境下的软件版权保护378

14.3 思考与实践382

14.4 学习目标检验383

参考文献385