作者:美国OWASP基金会
页数:21,129页
出版社:电子工业出版社
出版日期:2018
ISBN:9787121338496
电子书格式:pdf/epub/txt
内容简介
本书系统性地介绍了OWASP安全组织研究总结的应用安全验证标准,为软件开发过程中的安全控制措施开发提供直接指导与必要参考。全书分为两大部分:第一部分介绍了应用安全验证要求的使用方法和参考案例。第二部分详细介绍了19项安全控制措施的验证要求,并针对每种安全验证介绍了不同级别的控制目标和详细要求。本书旨在帮助相关软件开发企业机构和团队提升有关应用软件安全开发的相关意识;并在应用软件设计、开发和测试过程中,能明确对功能性和非功能性安全控制的要求。 本书适合软件开发企业的管理人员和执行人员,从事软件安全开发相关的专业人员,以及高等院校软件工程、信息安全、信息管理等专业的研究生、本科生学习和参考。
作者简介
OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究,在业界具有一流的影响力和权威性。作为OWASP面向中国的区域分支,OWASP中国自2006年正式启动,目前已拥有来自互联网安全专业领域和政府、电信、金融、教育等相关领域的会员5000多名,形成了强大的专业技术实力和行业资源聚集能力,有力推动了安全标准、安全测试工具、安全指导手册等应用安全技术在中国的发展,成为了积极推动中国互联网安全技术创新、人才培养和行业发展的中坚力量。作为OWASP中国的运营中心,互联网安全研究中心(Security Zone,简称SecZone)是国内首个独立、开源的互联网安全研究机构。中心始终秉持引入、吸收、创新的发展宗旨,专注于互联网安全前沿技术和OWASP项目的深度研究,常年组织开展各类开源培训及沙龙活动,致力于通过对国内外技术、资源的整合、应用和创新,更好地服务业界同仁、服务行业发展,更有力地推动国内互联网安全技术的进步与升级。
本书特色
本书系统性地介绍了OWASP安全组织研究总结的应用安全验证标准,为软件开发过程中的安全控制措施开发提供直接指导与必要参考。全书分为两大部分:最部分介绍了应用安全验证要求的使用方法和参考案例。第二部分详细介绍了19项安全控制措施的验证要求,并针对每种安全验证介绍了不同级别的控制目标和详细要求。本书旨在帮助相关软件开发企业机构和团队提升有关应用软件安全开发的相关意识;并在应用软件设计、开发和测试过程中,能明确对功能性和非功能性安全控制的要求。 本书适合软件开发企业的管理人员和执行人员,从事软件安全开发相关的专业人员,以及高等院校软件工程、信息安全、信息管理等专业的研究生、本科生学习和参考。
目录
第1章 使用应用安全验证标准 2
1.1 应用安全验证级别 3
1.2 如何使用这个标准 4
1.3 在实践中应用ASVS 7
第2章 评估软件是否达到验证水平 10
2.1 使用指导 11
2.2 自动渗透测试工具的作用 12
2.3 渗透测试的作用 12
2.4 用作详细的安全架构指导 13
2.5 用作现有安全编码清单的替代 13
2.6 用作自动化单元和集成测试指南 14
2.7 用作安全开发培训 14
第二篇 ASVS详解
第3章 V1:架构、设计和威胁建模 16
3.1 控制目标 17
3.2 验证要求 17
3.3 参考文献 19
第4章 V2:认证 20
4.1 控制目标 21
4.2 验证要求 21
4.3 参考文献 24
第5章 V3:会话管理 26
5.1 控制目标 27
5.2 验证要求 27
5.3 参考文献 29
第6章 V4:访问控制 30
6.1 控制目标 31
6.2 验证要求 31
6.3 参考文献 33
第7章 V5:恶意输入处理 34
7.1 控制目标 35
7.2 验证要求 35
7.3 参考文献 38
第8章 V6:密码学安全 40
8.1 控制目标 41
8.2 验证要求 41
8.3 参考文献 43
第9章 V7:错误处理和日志记录 44
9.1 控制目标 45
9.2 验证要求 46
9.3 参考文献 48
第10章 V8:数据保护 49
10.1 控制目标 50
10.2 验证要求 51
10.3 参考文献 52
第11章 V9:通信安全 53
11.1 控制目标 54
11.2 验证要求 54
11.3 参考文献 56
第12章 V10:HTTP安全配置 58
12.1 控制目标 59
12.2 验证要求 59
12.3 参考文献 60
第13章 V11:恶意控件 62
13.1 控制目标 63
13.2 验证要求 63
13.3 参考文献 64
第14章 V12:业务逻辑 65
14.1 控制目标 66
14.2 验证要求 66
14.3 参考文献 67
第15章 V13:文件和资源 68
15.1 控制目标 69
15.2 验证要求 69
15.3 参考文献 70
第16章 V14:移动应用程序 71
16.1 控制目标 72
16.2 验证要求 72
16.3 参考文献 74
第17章 V15:Web服务 75
17.1 控制目标 76
17.2 验证要求 76
17.3 参考文献 78
第18章 V16:安全配置 79
18.1 控制目标 80
18.2 验证要求 80
18.3 参考文献 81
第三篇 ASVS实践案例分析
第19章 ASVS的实践案例 83
19.1 案例1:作为安全测试指南使用 84
19.2 案例2:作为SDLC的实施指导 86
附 录
附录A 名词解释 89
附录B 参考文献 95
附录C 标准映射 97
附录D ASVS术语表 99
附录E 采用ASVS的OWASP项目 104
附录F OWASP安全编码规范快速参考指南 106
