軟件安全開發指南――應用軟件安全級彆驗證參考標準 pdf epub mobi txt 電子書下載 2024

圖書介紹

☆☆☆☆☆

[美] OWASP基金會著

下載鏈接在頁麵底部

點擊這裡下載

facebook linkedin mastodon messenger pinterest reddit telegram twitter viber vkontakte whatsapp 複製鏈接

想要找書就要到求知書站

tushu.tinynews.org

立刻按 ctrl+D收藏本頁

你會得到大驚喜!!

发表于2024-05-16

類似圖書點擊查看全場最低價

齣版社：電子工業齣版社

ISBN：9787121338496

版次：1

商品編碼：12328341

包裝：平裝

叢書名：新型網絡安全人纔培養叢書

開本：16開

齣版時間：2018-03-01

用紙：輕型紙

頁數：152

字數：160000

正文語種：中文

軟件安全開發指南――應用軟件安全級彆驗證參考標準 epub 下載 mobi 下載 pdf 下載 txt 電子書下載 2024

軟件安全開發指南――應用軟件安全級彆驗證參考標準 pdf epub mobi txt 電子書下載 2024

具體描述

內容簡介

本書係統性地介紹瞭OWASP安全組織研究總結的應用安全驗證標準，為軟件開發過程中的安全控製措施開發提供直接指導與必要參考。全書分為兩大部分：第一部分介紹瞭應用安全驗證要求的使用方法和參考案例。第二部分詳細介紹瞭19項安全控製措施的驗證要求，並針對每種安全驗證介紹瞭不同級彆的控製目標和詳細要求。本書旨在幫助相關軟件開發企業機構和團隊提升有關應用軟件安全開發的相關意識；並在應用軟件設計、開發和測試過程中，能明確對功能性和非功能性安全控製的要求。本書適閤軟件開發企業的管理人員和執行人員，從事軟件安全開發相關的專業人員，以及高等院校軟件工程、信息安全、信息管理等專業的研究生、本科生學習和參考。

作者簡介

OWASP是一個開源的、非盈利的全球性安全組織，緻力於應用軟件的安全研究，在業界具有一流的影響力和**性。作為OWASP麵嚮中國的區域分支，OWASP中國自2006年正式啓動，目前已擁有來自互聯網安全專業領域和政府、電信、金融、教育等相關領域的會員5000多名，形成瞭強大的專業技術實力和行業資源聚集能力，有力推動瞭安全標準、安全測試工具、安全指導手冊等應用安全技術在中國的發展，成為瞭積極推動中國互聯網安全技術創新、人纔培養和行業發展的中堅力量。作為OWASP中國的運營中心，互聯網安全研究中心（Security Zone，簡稱SecZone）是國內**獨立、開源的互聯網安全研究機構。中心始終秉持引入、吸收、創新的發展宗旨，專注於互聯網安全前沿技術和OWASP項目的深度研究，常年組織開展各類開源培訓及沙龍活動，緻力於通過對國內外技術、資源的整閤、應用和創新，更好地服務業界同仁、服務行業發展，更有力地推動國內互聯網安全技術的進步與升級。

第一篇 ASVS概述
第1章使用應用安全驗證標準 2
1．1 應用安全驗證級彆 3
1．2 如何使用這個標準 4
1．3 在實踐中應用ASVS 7
第2章評估軟件是否達到驗證水平 10
2．1 使用指導 11
2．2 自動滲透測試工具的作用 12
2．3 滲透測試的作用 12
2．4 用作詳細的安全架構指導 13
2．5 用作現有安全編碼清單的替代 13
2．6 用作自動化單元和集成測試指南 14
2．7 用作安全開發培訓 14

第二篇 ASVS詳解
第3章 V1：架構、設計和威脅建模 16
3．1 控製目標 17
3．2 驗證要求 17
3．3 參考文獻 19
第4章 V2：認證 20
4．1 控製目標 21
4．2 驗證要求 21
4．3 參考文獻 24
第5章 V3：會話管理 26
5．1 控製目標 27
5．2 驗證要求 27
5．3 參考文獻 29
第6章 V4：訪問控製 30
6．1 控製目標 31
6．2 驗證要求 31
6．3 參考文獻 33
第7章 V5：惡意輸入處理 34
7．1 控製目標 35
7．2 驗證要求 35
7．3 參考文獻 38
第8章 V6：密碼學安全 40
8．1 控製目標 41
8．2 驗證要求 41
8．3 參考文獻 43
第9章 V7：錯誤處理和日誌記錄 44
9．1 控製目標 45
9．2 驗證要求 46
9．3 參考文獻 48
第10章 V8：數據保護 49
10．1 控製目標 50
10．2 驗證要求 51
10．3 參考文獻 52
第11章 V9：通信安全 53
11．1 控製目標 54
11．2 驗證要求 54
11．3 參考文獻 56
第12章 V10：HTTP安全配置 58
12．1 控製目標 59
12．2 驗證要求 59
12．3 參考文獻 60
第13章 V11：惡意控件 62
13．1 控製目標 63
13．2 驗證要求 63
13．3 參考文獻 64
第14章 V12：業務邏輯 65
14．1 控製目標 66
14．2 驗證要求 66
14．3 參考文獻 67
第15章 V13：文件和資源 68
15．1 控製目標 69
15．2 驗證要求 69
15．3 參考文獻 70
第16章 V14：移動應用程序 71
16．1 控製目標 72
16．2 驗證要求 72
16．3 參考文獻 74
第17章 V15：Web服務 75
17．1 控製目標 76
17．2 驗證要求 76
17．3 參考文獻 78
第18章 V16：安全配置 79
18．1 控製目標 80
18．2 驗證要求 80
18．3 參考文獻 81

第三篇 ASVS實踐案例分析
第19章 ASVS的實踐案例 83
19．1 案例1：作為安全測試指南使用 84
19．2 案例2：作為SDLC的實施指導 86
附錄
附錄A 名詞解釋 89
附錄B 參考文獻 95
附錄C 標準映射 97
附錄D ASVS術語錶 99
附錄E 采用ASVS的OWASP項目 104
附錄F OWASP安全編碼規範快速參考指南 106

前言/序言

序1

關於標準

本書是根據《OWASP應用程序安全驗證標準》翻譯編寫的。《OWASP應用程序安全驗證標準》是架構師、開發人員、測試人員、安全專業人員及用戶可以使用的應用程序安全性要求或測試的列錶，以定義安全的應用程序。

版權和許可證

發布曆史

第3.0.1版《OWASP應用程序安全驗證標準》發布於2016年，該項目由Daniel Cuthbert和Andrew van der Stock領導。

? 2014年8月，第2.0版《OWASP應用程序安全驗證標準》發布。

? 2015年9月，第3.0版《OWASP應用程序安全驗證標準》發布。

? 2016年6月，第3.0.1版《OWASP應用程序安全驗證標準》發布。

2015年第3.0版的貢獻者

項目負責人主要作者貢獻者和審稿人

Andrew van der Stock

Daniel Cuthbert Jim Manico Abhinav Sejpal

Ari Kes?niemi

Boy Baukema

Colin Watson

Cristinel Dumitru

David Ryan

Fran?ois-Eric Guyomarc’h

Gary Robinson

Glenn Ten Cate

James Holland

Martin Knobloch

Raoul Endres

Ravishankar S

Riccardo Ten Cate

Roberto Martelloni

Ryan Dewhurst

Stephen de Vries

Steven van der Baan

2014年第2.0版的貢獻者

項目負責人主要作者貢獻者和審稿人

Daniel Cuthbert

Sahba Kazerooni Andrew van der Stock

Krishna Raja Antonio Fontes

Archangel Cuison

Ari Kes?niemi

Boy Baukema

Colin Watson

Dr Emin Tatli

Etienne Stalmans

Evan Gaustad

Jeff Sergeant

Jerome Athias

Jim Manico

Mait Peekma

Pekka Sillanp??

Safuat Hamdy

Scott Luc

Sebastien Deleersnyder

2009年第1.0版的貢獻者

項目負責人主要作者貢獻者和審稿人

Mike Boberski

Jeff Williams

Dave Wichers Jim Manico Andrew van der Stock

Barry Boyd

Bedirhan Urgun

Colin Watson

Dan Cornell

Dave Hausladen

Dave van Stein

Dr. Sarbari Gupta

Dr. Thomas Braun

Eoin Keary

Gaurang Shah

George Lawless

Jeff LoSapio

Jeremiah Grossman

John Martin

John Steven

續錶

項目負責人主要作者貢獻者和審稿人

Ken Huang

Ketan Dilipkumar Vyas

Liz Fong Shouvik Bardhan

Mandeep Khera

Matt Presson

Nam Nguyen

Paul Douthit

Pierre Parrend

Richard Campbell

Scott Matsumoto

Stan Wisseman

Stephen de Vries

Steve Coyle

Terrie Diaz

Theodore Winograd

序2

歡迎使用《OWASP應用程序安全驗證標準（ASVS）》第3.0.1版。ASVS是通過OWASP團隊努力建立而成的安全要求和控製框架，其側重於在應用程序設計、開發和測試時所需的功能和非功能安全控製。

本版本被認為是識彆和采用的最佳實踐經驗。這將有助於新興標準計劃采用ASVS中的內容，同時協助現有的企業學習他人的經驗。

OWASP ASVS項目組預計這個標準可能永遠不會達到100%的完善並被認同。風險分析在某種程度上是主觀的，這在嘗試以適閤所有標準的尺度進行泛化時，會産生挑戰。但是，OWASP ASVS項目組希望本版本的最新更新是朝著正確的方嚮邁齣的一步，並期望能為行業引入這一重要的概念。

第3.0.1版有什麼新功能

（1）在第3.0.1版本中，ASVS增加瞭幾個部分，包括配置、Web服務等，使本標準更適用於現代應用，如HTML5前端或移動客戶端、使用SAML身份驗證來調用一組RESTful Web服務。

（2）為確保使用人員不需要多次重復驗證相同的項目，第3.0.1版ASVS刪除瞭重復的標準。

第3.0.1版ASVS提供瞭一個映射到CWE常見弱點的枚舉（CWE）字典。CWE映射可以用於識彆信息利用的可能性，成功地利用這一結果。廣義地說，如果不使用或實施安全控製及如何緩解弱點，那麼還可以洞悉將來有可能齣現的問題。

最後，在2015年OWASP AppSec歐洲大會期間，OWASP ASVS項目組與其他項目組、專傢進行瞭評審，並在2015年的OWASP AppSec美國大會進行瞭最後的工作會議，納入大量反饋意見。OWASP ASVS項目組希望讀者能找到對本書有用的更新，並以項目組所能想象的方式使用它。

前言

背景

2016年和2017年是我國網絡安全行業飛速發展的兩年。自2016年年底至2017年，國傢先後發布並實施《網絡空間安全戰略》《網絡安全法》《關於加強網絡安全學科建設和人纔培養的意見》等涉及網絡安全方麵的法律法規和政策文件。同時，“WannCry勒索病毒”“Structs2漏洞”“Office高危漏洞”等這樣的全球性網絡安全事件也不時刺痛著人們的神經。越來越多的網絡安全研究機構、軟件研發機構、專傢學者逐漸認識到“沒有軟件安全，就沒有網絡安全”“安全不僅是網絡安全專傢的責任，更是每個軟件開發從業人員的責任”。

那麼，軟件研發機構如何開發齣安全的應用程序呢？安全的應用程序應該符閤哪些標準呢？軟件研發機構需要驗證應用程序的哪些方麵呢？本書是在這樣的背景下翻譯齣版的。

ASVS簡介

“OWASP應用程序安全驗證標準（ASVS）”項目是OWASP全球安全組織的成功項目之一。該項目的主旨如下：為執行Web應用程序安全驗證提供一套可行的標準，以規範應用程序的安全驗證覆蓋範圍和安全級彆。該項目的研究成果，即《OWASP應用程序安全驗證標準（ASVS）》，最新版本為第3.0.1版。

該成果不僅為Web應用程序技術安全控製提供瞭測試參考標準，還為應用程序開發人員提供瞭一係列安全開發需求建議。為測試應用程序技術安全控製及依賴於測試環境中的任何技術安全控製提供瞭參考依據，以消除應用程序受到跨站腳本（XSS）、SQL注入等軟件安全威脅的影響。此外，該成果還可用於標識應用程序的安全信任級彆。

該成果可根據讀者或使用人員的需要，作為度量標準、安全指導和采購要求。

（1）度量標準：為應用程序開發人員和應用程序所有者提供一個參考標準，以評估應用程序的可信任程度。

（2）安全指導：為應用程序中安全控製的開發人員提供有關構建安全控製的指導建議，以滿足應用程序的安全開發需求。

（3）采購要求：為應用程序的采購閤同，提供應用程序安全驗證需求的參考標準。

讀者對象

本書的主要讀者對象包括但不限於：

（1）軟件研發組織機構的技術專業負責人和項目主管。

（2）軟件安全開發服務谘詢與驗證的相關人員。

（3）網絡安全基礎核心領域研究的專傢學者。

（4）高等院校軟件工程專業和網絡安全專業的教育工作者。

（5）對軟件安全開發感興趣的個人。

內容結構