新書推薦:
《
养育男孩:官方升级版
》
售價:HK$
50.4
《
小原流花道技法教程
》
售價:HK$
109.8
《
少女映像室 唯美人像摄影从入门到实战
》
售價:HK$
110.9
《
詹姆斯·伍德系列:不负责任的自我:论笑与小说(“美国图书评论奖”入围作品 当代重要文学批评家詹姆斯·伍德对“文学中的笑与喜剧”的精湛研究)
》
售價:HK$
87.4
《
武当内家散手
》
售價:HK$
50.4
《
诛吕:“诸吕之乱”的真相与吕太后时期的权力结构
》
售價:HK$
99.7
《
炙野(全2册)
》
售價:HK$
78.2
《
女人的胜利
》
售價:HK$
55.9
|
| 編輯推薦: |
(1)知识结构系统完整:不仅包括面向源头安全的软件安全开发技术,而且覆盖针对三大软件安全问题(即软件漏洞、恶意软件和软件侵权问题)的分析与防治技术。
(2)理论实践有机结合:不仅系统阐述基础理论知识,而且讲述应用技术并提供实践练习,突出实践性案例,在每章中都包含若干实践性案例分析。
(3)经典新颖内容融会:不仅介绍经典的技术、工具和案例,而且讲解近年来新出现的重要技术、主流工具以及新应用场景的案例。
|
| 內容簡介: |
|
本书介绍软件安全开发技术和软件安全问题的分析防治技术。全书分五部分,共13章。部分为软件安全引论。第二部分为软件安全开发,讲解软件安全开发周期、分析与设计、编程与测试。第三部分为软件漏洞问题及防治,包括漏洞的概述、机理和防治技术。第四部分为恶意软件问题及防治,讲解恶意代码的基本知识、机理与防治技术。第五部分为软件侵权问题及权益保护,讲述软件知识产权相关法律与侵权问题、软件版权保护和防破解技术。 本书可作为高等院校网络空间安全、信息安全和软件工程等计算机类专业的教材,也可作为相关专业学生和软件工程师的参考书。
|
| 關於作者: |
|
孙玉霞,郑炜,厦门大学副教授,厦门大学计算机科学与技术系副主任。本科、硕士毕业于清华大学计算机科学与技术系,博士毕业于英国曼彻斯特大学计算机学院。主要研究领域为分布式计算、调度算法和区块链技术。热爱本科教学,已讲授本科生必修课《C语言程序设计》与《操作系统原理》近十年,曾获福建省教学成果奖二等奖,厦门大学春雨奖教金,厦门大学青年教师教学技能比赛二等奖。
|
| 目錄:
|
部分软件安全引论
第1章软件安全概述31.1软件安全的重要性3
1.1.1软件的作用与软件安全3
1.1.2安全威胁的形势与软件安全4
1.1.3对软件安全的重视6
1.2软件安全的概念6
1.2.1软件安全的定义6
1.2.2软件的安全属性7
1.3软件安全问题9
1.3.1软件漏洞9
1.3.2恶意软件10
1.3.3软件侵权12
1.3.4软件后门13
1.4软件安全技术与标准14
1.4.1软件安全开发技术14
1.4.2软件安全防护技术15
1.4.3软件安全的相关标准15
1.5白帽子与黑帽子16
1.5.1黑白有别16
1.5.2白帽子的重要性17
1.6实例分析18
罗宾汉勒索软件事件实例18
1.7本章小结19
【思考与实践】19第二部分软件安全开发
第2章软件安全开发周期232.1软件安全开发过程23
2.2软件安全开发模型25
2.2.1微软公司的SDL模型25
2.2.2OWASP的SAMM模型29
2.2.3McGraw的BSI模型33
2.2.4SEI的TSPSecure模型36
2.3实例分析37
某医疗行业软件安全开发方案实例37
2.4本章小结38
【思考与实践】38
〖3〗软件安全技术目录〖3〗第3章软件安全分析与设计40
3.1软件安全需求分析40
3.1.1安全需求分析的方法40
3.1.2攻击用例42
3.2软件安全设计44
3.2.1安全设计的内容与原则44
3.2.2安全设计的方法与模式48
3.2.3威胁建模51
3.3实例分析53
3.3.1软件安全需求分析实例53
3.3.2软件威胁建模实例56
3.4本章小结60
【思考与实践】60
第4章安全编程61
4.1安全编程概述61
4.1.1安全编程原则61
4.1.2安全编程环境62
4.1.3编程语言安全性65
4.2基本安全编程67
4.2.1输入安全67
4.2.2异常处理安全70
4.2.3内存安全73
4.2.4线程与进程安全76
4.3数据安全编程82
4.3.1加密算法安全82
4.3.2密钥安全86
4.4应用安全编程88
4.4.1权限控制安全88
4.4.2远程调用安全89
4.4.3面向对象应用的安全编程92
4.4.4Web应用的安全编程93
4.5实例分析95
4.5.1Web应用登录模块的安全编程实例95
4.5.2某教务管理系统权限管理的安全编程实例96
4.6本章小结98
【思考与实践】99
第5章软件安全测试101
5.1软件安全测试的内容101
5.2软件安全测试的方法103
5.3静态的软件安全测试104
5.3.1代码安全审查104
5.3.2静态代码分析105
5.4渗透测试106
5.4.1渗透测试过程106
5.4.2渗透测试工具108
5.4.3渗透测试与法律道德109
5.5模糊测试110
5.5.1模糊测试原理110
5.5.2模糊测试技术112
5.5.3模糊测试工具114
5.6实例分析115
某投资咨询公司系统的渗透测试实例115
5.7本章小结116
【思考与实践】116
第三部分软件漏洞问题及防治
第6章软件漏洞概述1196.1软件漏洞的定义119
6.2软件漏洞的成因与后果120
6.2.1软件漏洞的成因120
6.2.2软件漏洞被利用的后果122
6.3软件漏洞的分类与分级123
6.3.1软件漏洞的分类123
6.3.2软件漏洞的分级125
6.4软件漏洞的管控126
6.4.1软件漏洞管控的必要性126
6.4.2软件漏洞管理的标准126
6.5实例分析127
6.5.1区块链API鉴权漏洞事件实例127
6.5.2Zerologon高危漏洞事件实例129
6.6本章小结129
【思考与实践】130
第7章软件漏洞机理131
7.1内存漏洞131
7.1.1内存漏洞概述131
7.1.2栈溢出漏洞机理131
7.1.3堆溢出漏洞机理134
7.1.4格式化串漏洞机理136
7.1.5释放后重用漏洞机理138
7.2Web应用程序漏洞139
7.2.1Web应用程序漏洞概述139
7.2.2SQL注入漏洞机理140
7.2.3跨站脚本漏洞机理143
7.2.4跨站请求伪造漏洞机理146
7.3操作系统内核漏洞148
7.3.1操作系统内核概述148
7.3.2提权漏洞机理148
7.3.3验证绕过漏洞机理149
7.4实例分析150
7.4.1内存漏洞源码实例150
7.4.2某设备管控系统的漏洞检测实例153
7.4.3Windows本地提权漏洞实例155
7.4.4Android签名验证绕过漏洞实例158
7.5本章小结161
【思考与实践】161
第8章软件漏洞防治163
8.1软件漏洞防范概述163
8.2软件漏洞防护机制164
8.2.1数据执行保护164
8.2.2地址空间布局随机化165
8.2.3安全结构化异常处理166
8.2.4栈溢出检测的编译选项167
8.3漏洞挖掘168
8.3.1漏洞挖掘概述168
8.3.2基于源码的静态漏洞分析169
8.3.3基于二进制码的静态漏洞分析171
8.3.4基于二进制码的动态漏洞分析174
8.4实例分析177
8.4.1Windows漏洞防护技术应用实例177
8.4.2基于模糊测试的二进制码漏洞检测实例178
8.5本章小结181
【思考与实践】181
第四部分恶意软件问题及防治
第9章恶意代码概述1859.1恶意代码的定义185
9.2恶意代码的类型及特征185
9.2.1病毒185
9.2.2蠕虫190
9.2.3木马192
9.2.4勒索软件194
9.2.5Rootkit196
9.2.6发展趋势197
9.3恶意代码的管控199
9.3.1恶意代码的相关法律法规199
9.3.2恶意代码的防治管理201
9.4实例分析201
9.4.1GandCrab勒索软件实例201
9.4.2Scranos Rootkit实例202
9.5本章小结204
【思考与实践】204
第10章恶意软件的机理206
10.1可执行文件206
10.1.1可执行文件的类型206
10.1.2PE文件格式207
10.1.3可执行文件的生成210
10.1.4系统引导与应用程序执行212
10.2PE病毒的机理213
10.2.1PE病毒的基本结构213
10.2.2PE病毒的工作机制214
10.3蠕虫的机理216
10.3.1蠕虫的基本结构216
10.3.2蠕虫的工作机制217
10.4木马的机理217
10.4.1木马的基本结构217
10.4.2木马的工作机制217
10.5Rootkit的机理218
10.5.1Rootkit的基本结构218
10.5.2Rootkit的工作机制219
10.6实例分析220
10.6.1构造可执行PE文件实例220
10.6.2灰鸽子木马机理实例223
10.7本章小结225
【思考与实践】225
第11章恶意代码防治227
11.1恶意代码逆向分析技术227
11.1.1静态逆向分析技术227
11.1.2静态逆向分析工具IDA228
11.1.3动态逆向分析技术230
11.1.4动态调试工具OD232
11.2基本的恶意代码检测技术235
11.2.1特征值检测235
11.2.2校验和检测237
11.2.3基于虚拟机的检测238
11.3基于人工智能的恶意代码检测240
11.3.1恶意代码智能检测技术概述240
11.3.2主流平台上的恶意代码智能检测技术241
11.4实例分析244
11.4.1基于IDA工具的静态逆向分析实例244
11.4.2基于OD工具的动态逆向分析实例246
11.5本章小结249
【思考与实践】249
第五部分软件侵权问题及权益保护
第12章软件侵权问题25312.1软件知识产权与法律253
12.1.1软件知识产权253
12.1.2开源软件许可证254
12.1.3开源软件与知识产权保护256
12.1.4软件知识产权的相关法律257
12.2软件侵权问题概述260
12.3实例分析261
Oracle公司诉Google公司Java侵权案实例261
12.4本章小结262
【思考与实践】262
第13章软件权益保护技术264
13.1软件权益保护概述264
13.2软件版权保护技术265
13.2.1用户合法性验证265
13.2.2软件校验271
13.2.3演示版限制使用272
13.2.4云计算SaaS模式下的软件版权保护273
13.3软件防破解技术274
13.3.1软件破解与防破解274
13.3.2代码混淆276
13.3.3程序加壳281
13.3.4软件水印281
13.3.5防调试282
13.4实例分析284
13.4.1微信云开发模式下的软件版权保护实例284
13.4.2Android App防破解实例285
13.5本章小结288
【思考与实践】289
参考文献290
|
| 內容試閱:
|
软件是信息系统的灵魂,软件安全是网络空间安全的基石。随着网络空间安全威胁的日益增多,软件安全问题所引发的各种信息系统安全事件层出不穷,给国家、社会、单位和个人造成了巨大损失。软件安全对我国国计民生与国家安全的影响与日俱增。然而,目前我国的软件安全技术人才供不应求,软件产品的安全性普遍需要提升。因此,培养软件安全技术人才、提升软件开发者的安全开发技能具有极其重要的意义。
近年来,全国很多高校设立了网络空间安全专业和信息安全专业,软件安全是其核心课程之一;软件安全也是软件工程和计算机科学与技术等专业的选修课。但是,目前的软件安全教材还不够丰富。随着软件安全攻防不断升级,软件安全技术的发展非常迅速,软件安全教材的内容也需要适时更新。本书作为“面向新工科专业建设计算机系列教材”之一,读者对象主要为高等院校计算机类专业及相关专业的学生,本书也可作为软件工程师的参考书。
本书在编写过程中,力求具备以下特色。
(1) 知识结构系统完整。不仅包括面向源头安全的软件安全开发技术,而且覆盖针对三大软件安全问题(即软件漏洞、恶意软件和软件侵权问题)的分析与防治技术。
(2) 理论与实践有机结合。不仅系统阐述基础理论知识,而且讲述应用技术并提供实践练习,突出实践性案例,在每章中都包含若干实践性案例分析。
(3) 经典新颖内容融会。不但介绍经典的技术、工具和案例,而且讲解近年新出现的重要技术、主流工具以及新应用场景的案例。
本书包括五部分,共13章,其内容安排如下。在部分软件安全引论中,第1章概述软件安全的意义、概念和标准。在第二部分软件安全开发中,第2章介绍软件安全开发周期的过程和模型;第3章讲解软件安全分析与设计技术;第4章详述安全编程技术,包括基本安全编程、数据安全编程和应用安全编程技术;第5章阐述软件安全测试技术。在第三部分软件漏洞问题及防治中,第6章概述软件漏洞的定义、类型与管控;第7章详述几类重要软件漏洞的机理,包括内存漏洞、Web应用程序漏洞和操作系统内核漏洞的机理;第8章介绍软件漏洞的防治技术,涉及漏洞防护机制和漏洞挖掘技术。在第四部分恶意软件问题及防治中,第9章概述恶意代码的定义、类型与管控;第10章详解几种重要恶意代码的机理与可执行文件技术,涉及病毒、蠕虫、木马和Rootkit的机理;第11章详述恶意软件的防治技术,包括恶意样本逆向分析、传统的和基于人工智能的恶意软件检测技术。在第五部分软件侵权问题及权益保护中,第12章概述软件知识产权相关法律与软件侵权问题;第13章详细阐述软件权益保护技术,包括软件版权保护技术和软件破解防御技术。
本书的每一章都提供若干实践性案例及其分析,涉及近年出现的软件安全典型事件、软件安全新技术和新应用场景。全书共24个实践性案例分析,以下列出各章中实践性案例的名称。
〖3〗软件安全技术前言〖3〗(第1章)罗宾汉勒索软件事件实例
(第2章)某医疗行业软件安全开发方案实例
(第3章)软件安全需求分析实例
(第3章)软件威胁建模实例
(第4章)Web应用登录模块的安全编程实例
(第4章)某教务管理系统权限管理的安全编程实例
(第5章)某投资咨询公司系统的渗透测试实例
(第6章)区块链API鉴权漏洞事件实例
(第6章)Zerologon高危漏洞事件实例
(第7章)内存漏洞源码实例
(第7章)某设备管控系统的漏洞检测实例
(第7章)Windows本地提权漏洞实例
(第7章)Android签名验证绕过漏洞实例
(第8章)Windows漏洞防护技术应用实例
(第8章)基于模糊测试的二进制码漏洞检测实例
(第9章)GandCrab勒索软件实例
(第9章)Scranos Rootkit实例
(第10章)构造可执行PE文件实例
(第10章)灰鸽子木马机理实例
(第11章)基于IDA工具的静态逆向分析实例
(第11章)基于OD工具的动态逆向分析实例
(第12章)Oracle公司诉Google公司Java侵权案实例
(第13章)微信云开发模式下的软件版权保护实例
(第13章)Android App防破解实例
本书由暨南大学的孙玉霞、翁健和李哲涛主持编写,孙玉霞负责全书除第2章、第5章、第6章和第12章以外各章的编写;翁健负责编写第5章和第6章;李哲涛负责编写第2章;广东省科技基础条件平台中心、广东省高性能计算重点实验室的许颖媚和罗亮负责编写第12章和7.4.2节,与孙玉霞共同编写第9章。
在本书的编写过程中,暨南大学的陈诗琪、吕文建、崔颖贤、方洁凤、周兆南、谭子渊、陈钊、林松和霍紫莹以及广东省科技基础条件平台中心的曹强、贾伟凤和匡碧琴收集和整理了许多文献和资料,帮助校对了书稿,在此对他们表示由衷感谢!本书在编写时参考了来自书籍、学术刊物和互联网等的文献和资料,其中有些列入了参考文献,还有些可能因疏忽而未能查证引用,在此感谢所有这些文献资料的作者!感谢清华大学出版社的诸位编辑对本书的辛勤付出!暨南大学本科教材资助项目和“暨南双百英才计划”项目为本书的编写提供了支持,在此一并致谢。
软件安全攻防向来是“魔高一尺、道高一丈”,软件安全技术一直发展迅速。因编者学识有限,力有不逮,本书中的错谬遗漏之处虽几经修订仍在所难免。恳请诸位读者为本书提出宝贵的意见和建议,如蒙告知,将不胜感激。
作者2022年1月
|
|
購物車/收銀台(0) | 在線留言板
| 付款方式
| 運費計算
| 聯絡我們
| 幫助中心 |
加入書簽
HOME
新書上架
