 |
-- 會員 / 註冊 --
|
 |
|
|
|
Web應用安全威脅與防治——基于OWASP Top 10與ESAPI ( 簡體 字) |
| 作者:王文君,李建蒙 | 類別:1. -> 安全 -> 網路安全 -> 駭客攻擊與入侵 |
| 譯者: |
| 出版社:電子工業出版社 |  3dWoo書號: 34483
詢問書籍請說出此書號!【缺書】
【不接受訂購】 |
| 出版日:1/1/2013 |
| 頁數:480 |
| 光碟數:0 |
|
站長推薦:   |
| 印刷:黑白印刷 | 語系: ( 簡體 版 ) |
| |
【不接受訂購】 | | ISBN:9787121188572 |
| 作者序 | 譯者序 | 前言 | 內容簡介 | 目錄 | 序 |
| (簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證) |
| 作者序: |
| 譯者序: |
前言:序1
隨著社交網絡、微博等一系列新型的互聯網產品的誕生,尤其是Web 2.0技術的推廣,基于Web環境的面向普通終端用戶的互聯網應用越來越廣泛。在企業界,隨著企業信息化的不斷深入,各種服務于企業的應用都架設在Web平臺上。Web業務的迅速發展把越來越多的個人和企業的敏感數據通過Web展現給用戶。這引起黑客們的強烈關注,他們躍躍欲試,利用網站操作系統的漏洞和Web服務程序的SQL注入等漏洞得到Web服務器的控制權限,輕則篡改網頁內容,重則竊取重要內部數據。更為嚴重的則是在網頁中植入惡意代碼,使得網站訪問者受到侵害。這些也使得越來越多的用戶關注應用層的安全問題,業界對Web應用安全的關注度也逐漸升溫。
目前很多業務都依賴于互聯網,如網上銀行、網絡購物、網游等,很多惡意攻擊者會對Web服務器進行攻擊,想方設法通過各種手段獲取他人的個人賬戶信息以謀取利益。正是因為這樣,Web業務平臺非常容易遭受攻擊。為了防止黑客的攻擊,除了對Web服務器做相應的配置外,Web應用程序的設計和開發也需要杜絕黑客攻擊的隱患。本書有針對性地面向廣大Web應用程序員提供了系統的安全設計原則和編程技巧。
作為應用程序員,你可能非常熟悉你所負責的業務邏輯,你也一定精通幾種編程語言和數據庫。但是,就我所接觸的程序員來說,很少有懂得怎樣在編程中避免留下安全漏洞的。對于產品架構師,很多產品在其設計之時沒有考慮系統的安全問題,沒有相應的安全標準。請仔細閱讀本書,本書為你的Web產品提供了一個可行的安全標準,同時也為你提供了系統的針對各種安全漏洞的行之有效的編程技巧。
作者之一的王文君是我領導的惠普軟件PPM產品研發團隊的安全架構師。他將OWASP Top 10應用于PPM,使之成為該企業級產品的安全標準。事實證明,OWASP Top 10及相應的ESAPI有效地滿足了用戶對該產品安全方面的苛刻要求。不久前,我們的產品通過了我們的客戶之一某國國防部的安全攻擊測試。所以,我極力將本書推薦給你。你將會有針對性地在你的程序里滿足安全性要求,對于潛在的安全隱患,你將有足夠的智慧和手段去解決它。
李維綱
惠普軟件部研發團隊經理
序2
2011年的秋天,我應邀在北京國際會議中心舉行的OWASP亞洲峰會上做了《XSS檢測防范技術與實例研究》演講,在介紹存儲型和反射型跨站腳本的時候,我寫了下面一段小詩:
你點,或者不點,蠕蟲就在那里,不增不減。
你看,或者不看,跨站就在那里,不來不去。
默然 相逢
寂靜 悲愴
會后,電子工業出版社的畢寧老師找到我,問我是否能寫一本關于OWASP Top 10的書籍。根據我自身的經驗,現在許多IT軟件公司在開發軟件的時候都采用了敏捷開發,功能導向非常嚴重。產品經理在背后催呀催,IT開發者在前面追呀追,很多軟件產品根本沒有將安全作為一個驗收標準,這樣導致交付客戶使用后,經常會發生一些安全問題,然后再進行修改,成本非常高,當時我就想,如果能寫這么一本書,提高廣大IT開發者、測試者的安全意識,使得在項目需求分析以及開發的時候就能將安全考慮進去,豈不是很好?于是就爽快地答應了。從北京回來以后,與也參加此次會議的李建蒙先生就這事聊了聊,一拍即合,決定由兩人一起創作這本書。
本書結構
本書分5篇,讀者可以通過瀏覽目錄來了解全書的大體綱要。
第1篇引子,在這篇里,讀者通過閱讀4個小故事,可以對常見的網絡安全事件有個基本了解,增強從事IT事業的自豪感,甚至可以學著做出我們IT人員的“禪師體”,在笑聲中搞定小清新。
第2篇基礎篇,萬丈高樓平地起,這篇主要介紹了一些最基本的Web應用技術的概念,如http、https、Cookie、Session等,以及一些OWASP的基本知識,如風險評估、Top 10、ESAPI等。
第3篇工具篇,工欲善其事,必先利其器,從事IT安全行業,沒有一些得力的小工具是萬萬不行的。本篇介紹了最常見的Apache Web服務器、各種主流瀏覽器及調試工具、一些流行的滲透測試工具及掃描工具,最后介紹了一些常見的漏洞學習網站供讀者進行學習試驗。
第4篇攻防篇,這是本書最主要的內容,根據提出問題、分析問題和解決問題三部曲,詳細而全面地介紹了OWASP Top 10,每一章的最后還附有checklist,以便讀者方便地進行查詢。
第5篇安全設計和編碼十大原則,作為本書的結尾部分,這篇主要介紹了我們做安全設計和編碼時最常見的十大原則,提綱挈領。
致謝
感謝畢寧老師,正是你的努力,本書才得以與廣大讀者見面,以后有機會我一定要親自彈上一首古箏曲向你致謝。
感謝出版社參與本書編審的老師,我想對你們說,一路泥濘,只為山花燦爛。
感謝本書的另一作者李建蒙,我要告訴你,我是如此的幸運能遇到你,與你的合作真心愉快。
感謝我的經理李維綱先生,謝謝你對我的工作的理解和支持,正是你的諄諄教導讓我大膽地走出去,因此我才能開闊自己的眼界,才能有本書的誕生,同時也感謝你百忙之中抽空為本書寫序。
感謝我的好朋友許屹,在我有小小得意的時候,你能給我中肯的建議讓我更冷靜地思考,在我失意的時候,你總能出現在我的面前給我最最及時而貼切的安慰讓我勇于面對。有友如此,夫復何求?
感謝HP PPM所有的同事們,正是你們如此地信任我和給我這個機會,我才有機會做這些知識積累,才有本書的面世。他們包括但不限于:陳萍、高陳、何強威、汪燕鋒、任智超、方逸東、Etienne、夏琴嫻、周琴、丁晨、吳留坡、吳韜青、嚴峰、董歡歡、任君平、趙敏、黃健、李祥青、李文錦、陸純奇、於良偉、宋立平、黃嚴,等等(我這里不一一列舉所有PPMer名字了)。我想到了兩年前我們組去陽澄湖吃蟹的時候,我寫下的那個標語:“菊黃蟹肥,陽澄農莊。巔峰之隊,我為伊狂。”有的時候我一個人走在路上,想到你們每個人的歡聲笑語,想到你們每個人的聰明才智,暗自佩服。我要對你們說,能和你們一起工作是我的榮幸。因為我知道,無論我做什么,我的背后都有你們給我支持。同時也感謝過去在PPM工作過的同事對我的幫助,他們包含但不限于Vikram Matharoo、Sophia Gu、Imran Tusneem、Narayan Mandaleeka、Youjin Zhu、Subir Parulekar、顧兵、Vadim Filanovsky、金央真、陸由、朱啟敏、郭亞峰等。
感謝HP Software上海的領導黃曉輝、歐陽杰子、朱征宇、金衛國、蔣鎰珍、謝黎等一直以來對我的關心和指導,鼓勵我一直進步。
I would like to show my greatest appreciation to Tomer Gershoni, the Chief Information and Security Officer for HP Hybrid & Cloud. I can’t say thank you enough for your tremendous support and help in dealing with PPM SaaS security issues. I’m looking forward to going on collaboration in the near future.
I want to express my sincere gratitude to Asaf Barkan, CTO of HP SPM product unit, for providing a very constructive suggestion and guidance to my research about Two Factor Authentication as a Service (2FAaaS), you’re definitely the security expert that everyone wants to be.
感謝新浪微博的夏玉明、Success Factor的吳宇、攜程旅行網的袁勁松和上海測評中心的何勇亮、網易的沈明星,你們給了我很多有用的建議,和你們聊天真是人生的一大樂事。
感謝黑客老鷹萬濤、上海銀基胡紹勇、金山軟件程沖、上海交大施勇給本書寫的書評,你們的鼓勵是我繼續前進的動力。
感謝OWASP中國的同仁們,正是你們提供了一個如此輕松良好的平臺,我才得以有機會寫作這本書,他們包含但不限于:陳亮、Rip、宋國徽、袁明坤、付奎、Neil、Ivy、劉永波、Frank、郭濤等。
感謝我的父母,正是他們含辛茹苦地將我養大,教會我做人的道理。
感謝我家里那位最可愛的王潔怡小姑娘,爸爸寫書的時候很忙,不能每周都帶你出去玩,你也諒解我,其實爸爸最大的希望就是你能健康快樂地成長,你永遠在我內心最柔弱的地方。
最后感謝我的妻子,12年前,我們在閔科相遇,我還書生年少,你仍白衣如雪。感謝你多年如一日地對我的照顧、呵護和默默的支持。一生癡絕處,無夢回蘭坪。
郵箱:shanda.wang@gmail.com
微博:http://weibo.com/sanderwang
Blog:http://blog.sina.com.cn/app4sec
王文君
2012年7月于上海
序3
記得和王文君先生相識還是源于2011年11月北京的OWASP的亞洲峰會,當時,我們都被邀請作為演講和培訓嘉賓,住在同一家酒店的同一層樓上,因而,得以認識。后來有一天,王文君先生聯系我說:“要寫一本關于安全漏洞方面的書籍,主要是提高入門人員、開發人員以及測試人員的一些安全意識和安全防范意識”。我聽到之后,非常高興。
在這么多年的安全工作中,經常遇到一些開發或者測試人員對安全方面一點也不懂,導致開發的產品問題非常多。我經常在公司內部組織一些培訓,主要是培訓安全開發流程,以及安全漏洞的正確的防范方法,這樣做主要是為了提高公司內部員工的安全開發意識。可是,可能還有很多公司沒有這方面的培訓,或許還沒有安全方面的意識,所以,才導致安全事件頻發。不過,隨著網絡安全事件的發生,越來越多的公司體會到安全的重要性,開始在安全方面投入人力和物力。但是,即使投入再多,沒有很好的指導和正確的方法,往往會事倍功半,甚至使得很多工作都成為徒勞。如果有一本可以提高大家安全意識,并且能夠為大家提供進一步的正確的防范方法的書,那是更好了。所以,王文君先生聯系我時,我非常爽快地答應了一起創作一本這方面的書籍。
花了將近半年的時間,才完成本書的編寫,這個過程使得我對所涉及的知識又有了進一步的理解和升華,希望能夠給讀者帶來安全性方面知識的豐富。
將本書獻給我的母親,是她的教導和堅持改變了我的人生,才使得我能夠有這樣的機會寫這本書,還要感謝我的妻子,雖然她有孕在身,仍然堅持支持和鼓勵我完成此書。
感謝我的好朋友新浪微博安全專家夏玉明先生,給了我不少很好的建議。最后還要感謝王文君先生,雖然在OWASP只是一面之緣,卻能夠想起與我一起合作完成這本書。
郵箱:jianmeng.jimmy@gmail.com
微博:http://weibo.com/devsecurity
李建蒙
2012年7月于合肥 |
內容簡介:本書是一本講解Web應用中最常見的安全風險以及解決方案的實用教材。它以當今公認的安全權威機構OWASP(Open Web Application Security Project)制定的OWASP Top 10為藍本,介紹了十項最嚴重的Web應用程序安全風險,并利用ESAPI(Enterprise Security API)提出了解決方案。本書共有五篇,第1篇通過幾個故事引領讀者進入安全的世界;第2篇是基礎知識篇,讀者可以了解基本的Web應用安全的技術和知識;第3篇介紹了常用的安全測試和掃描工具;第4篇介紹了各種威脅以及測試和解決方案;第5篇在前幾篇的基礎上,總結在設計和編碼過程中的安全原則。
本書各章以一個生動的小故事或者實例開頭,讓讀者快速了解其中的安全問題,然后分析其產生的原因和測試方法并提出有效的解決方案,最后列出處理相關問題的檢查列表,幫助讀者在以后的工作和學習中更好地理解和處理類似的問題。讀完本書之后,相信讀者可以將學過的內容應用到Web應用安全設計、開發、測試中,提高Web應用程序的安全,也可以很有信心地向客戶熟練地講解Web應用安全威脅和攻防,并在自己的事業發展中有更多的收獲。
本書適用于Web開發人員、設計人員、測試人員、架構師、項目經理、安全咨詢顧問等。本書也可以作為對Web應用安全有興趣的高校學生的教材,是一本實用的講解Web應用安全的教材和使用手冊。 |
目錄:第1篇 引子
故事一:家有一IT,如有一寶 2
故事二:微博上的蠕蟲 3
故事三:明文密碼 5
故事四:IT青年VS禪師 5
第2篇 基礎篇
第1章 Web應用技術 8
1.1 HTTP簡介 8
1.2 HTTPS簡介 10
1.3 URI 11
1.3.1 URL 11
1.3.2 URI/URL/URN 12
1.3.3 URI比較 13
1.4 HTTP消息 13
1.4.1 HTTP方法 14
1.4.2 HTTP狀態碼 19
1.5 HTTP Cookie 20
1.5.1 HTTP Cookie的作用 22
1.5.2 HTTP Cookie的缺點 23
1.6 HTTP session 23
1.7 HTTP的安全 24
第2章 OWASP 27
2.1 OWASP簡介 27
2.2 OWASP風險評估方法 28
2.3 OWASP Top 10 34
2.4 ESAPI
(Enterprise Security API) 35
第3篇 工具篇
第3章 Web服務器工具簡介 38
3.1 Apache 38
3.2 其他Web服務器 39
第4章 Web瀏覽器以及調試工具 42
4.1 瀏覽器簡介 42
4.1.1 基本功能 42
4.1.2 主流瀏覽器 43
4.1.3 瀏覽器內核 44
4.2 開發調試工具 45
第5章 滲透測試工具 47
5.1 Fiddler 47
5.1.1 工作原理 47
5.1.2 如何捕捉HTTPS會話 48
5.1.3 Fiddler功能介紹 49
5.1.4 Fiddler擴展功能 56
5.1.5 Fiddler第三方擴展功能 56
5.2 ZAP 58
5.2.1 斷點調試 60
5.2.2 編碼/解碼 61
5.2.3 主動掃描 62
5.2.4 Spider 63
5.2.5 暴力破解 64
5.2.6 端口掃描 65
5.2.7 Fuzzer 66
5.2.8 API 66
5.3 WebScrab 67
5.3.1 HTTP代理 67
5.3.2 Manual Request 69
5.3.3 Spider 70
5.3.4 Session ID分析 71
5.3.5 Bean Shell的支持 71
5.3.6 Web編碼和解碼 73
第6章 掃描工具簡介 74
6.1 萬能的掃描工具——
WebInspect 74
6.1.1 引言 74
6.1.2 WebInspect特性 74
6.1.3 環境準備 74
6.1.4 HP WebInspect總覽 76
6.1.5 Web網站測試 79
6.1.6 企業測試 86
6.1.7 生成報告 88
6.2 開源掃描工具——w3af 91
6.2.1 w3af概述 91
6.2.2 w3af環境配置 92
6.2.3 w3af使用示例 93
6.3 被動掃描的利器——Ratproxy 94
6.3.1 Ratproxy概述 94
6.3.2 Ratproxy環境配置 95
6.3.3 Ratproxy運行 96
第7章 漏洞學習網站 98
7.1 WebGoat 98
7.2 DVWA 99
7.3 其他的漏洞學習網站 99
第4篇 攻防篇
第8章 代碼注入 102
8.1 注入的分類 104
8.1.1 OS命令注入 104
8.1.2 XPath注入 109
8.1.3 LDAP注入 114
8.1.4 SQL注入 118
8.1.5 JSON注入 131
8.1.6 URL參數注入 133
8.2 OWASP ESAPI與注入問題的
預防 135
8.2.1 命令注入的ESAPI預防 135
8.2.2 XPath注入的ESAPI預防 138
8.2.3 LDAP注入的ESAPI預防 138
8.2.4 SQL注入的ESAPI預防 141
8.2.5 其他注入的ESAPI預防 143
8.3 注入預防檢查列表 143
8.4 小結 144
第9章 跨站腳本(XSS) 146
9.1 XSS簡介 146
9.2 XSS分類 146
9.2.1 反射式XSS 146
9.2.2 存儲式XSS 148
9.2.3 基于DOM的XSS 149
9.2.4 XSS另一種分類法 151
9.3 XSS危害 154
9.4 XSS檢測 156
9.4.1 手動檢測 156
9.4.2 半自動檢測 158
9.4.3 全自動檢測 158
9.5 XSS的預防 159
9.5.1 一刀切 159
9.5.2 在服務器端預防 160
9.5.3 在客戶端預防 168
9.5.4 富文本框的XSS預防措施 170
9.5.5 CSS 172
9.5.6 FreeMarker 174
9.5.7 OWASP ESAPI與XSS的
預防 177
9.6 XSS檢查列表 183
9.7 小結 184
第10章 失效的身份認證和會話管理 185
10.1 身份認證和會話管理簡介 185
10.2 誰動了我的琴弦——會話
劫持 186
10.3 請君入甕——會話固定 188
10.4 我很含蓄——非直接會話
攻擊 191
10.5 如何測試 199
10.5.1 會話固定測試 199
10.5.2 用Web Scrab分析會話ID 200
10.6 如何預防會話攻擊 202
10.6.1 如何防治固定會話 202
10.6.2 保護你的會話令牌 204
10.7 身份驗證 208
10.7.1 雙因子認證流程圖 209
10.7.2 雙因子認證原理說明 210
10.7.3 隱藏在QR Code里的秘密 211
10.7.4 如何在服務器端實現
雙因子認證 212
10.7.5 我沒有智能手機怎么辦 216
10.8 身份認證設計的基本準則 216
10.8.1 密碼長度和復雜性策略 216
10.8.2 實現一個安全的密碼
恢復策略 217
10.8.3 重要的操作應通過HTTPS
傳輸 217
10.8.4 認證錯誤信息以及
賬戶鎖定 219
10.9 檢查列表 219
10.9.1 身份驗證和密碼管理
檢查列表 219
10.9.2 會話管理檢查列表 220
10.10 小結 221
第11章 不安全的直接對象引用 222
11.1 坐一望二——直接對象引用 222
11.2 不安全直接對象引用的危害 224
11.3 其他可能的不安全直接
對象引用 224
11.4 不安全直接對象引用的預防 225
11.5 如何使用OWASP ESAPI
預防 227
11.6 直接對象引用檢查列表 230
11.7 小結 230
第12章 跨站請求偽造(CSRF) 232
12.1 CSRF簡介 232
12.2 誰動了我的奶酪 232
12.3 跨站請求偽造的攻擊原理 233
12.4 剝繭抽絲見真相 235
12.5 其他可能的攻擊場景 236
12.5.1 家用路由器被CSRF攻擊 236
12.5.2 別以為用POST你就
躲過了CSRF 238
12.5.3 寫一個自己的
CSRF Redirector 241
12.5.4 利用重定向欺騙老實人 243
12.6 跨站請求偽造的檢測 245
12.6.1 手工檢測 245
12.6.2 半自動CSRFTester 246
12.7 跨站請求偽造的預防 250
12.7.1 用戶需要知道的一些
小技巧 250
12.7.2 增加一些確認操作 250
12.7.3 重新認證 250
12.7.4 加入驗證碼(CAPTCHA) 250
12.7.5 ESAPI解決CSRF 250
12.7.6 CSRFGuard 256
12.8 CSRF檢查列表 260
12.9 小結 261
第13章 安全配置錯誤 262
13.1 不能說的秘密——
Google hacking 262
13.2 Tomcat那些事 264
13.3 安全配置錯誤的檢測與預防 264
13.3.1 系統配置 264
13.3.2 Web應用服務器的配置 268
13.3.3 數據庫 282
13.3.4 日志配置 284
13.3.5 協議 285
13.3.6 開發相關的安全配置 291
13.3.7 編譯器的安全配置 302
13.4 安全配置檢查列表 305
13.5 小結 307
第14章 不安全的加密存儲 308
14.1 關于加密 310
14.1.1 加密算法簡介 310
14.1.2 加密算法作用 312
14.1.3 加密分類 313
14.2 加密數據分類 314
14.3 加密數據保護 315
14.3.1 密碼的存儲與保護 315
14.3.2 重要信息的保護 323
14.3.3 密鑰的管理 336
14.3.4 數據的完整性 339
14.3.5 云系統存儲安全 342
14.3.6 數據保護的常犯錯誤 343
14.4 如何檢測加密存儲數據的
安全性 344
14.4.1 審查加密內容 344
14.4.2 已知答案測試
(Known Answer Test) 344
14.4.3 自發明加密算法的檢測 345
14.4.4 AES加密算法的測試 345
14.4.5 代碼審查 346
14.5 如何預防不安全的加密
存儲的數據 347
14.6 OWASP ESAPI與加密存儲 348
14.6.1 OWASP ESAPI與隨機數 353
14.6.2 OWASP ESAPI 與
FIPS 140-2 354
14.7 加密存儲檢查列表 355
14.8 小結 355
第15章 沒有限制的URL訪問 357
15.1 掩耳盜鈴——隱藏(Disable)
頁面按鈕 357
15.2 權限認證模型 358
15.2.1 自主型訪問控制 360
15.2.2 強制型訪問控制 360
15.2.3 基于角色的訪問控制 361
15.3 繞過認證 363
15.3.1 網絡嗅探 364
15.3.2 默認或者可猜測用戶賬號 364
15.3.3 直接訪問內部URL 364
15.3.4 修改參數繞過認證 365
15.3.5 可預測的SessionID 365
15.3.6 注入問題 365
15.3.7 CSRF 365
15.3.8 繞過認證小結 366
15.4 繞過授權驗證 367
15.4.1 水平越權 368
15.4.2 垂直越權 369
15.5 文件上傳與下載 373
15.5.1 文件上傳 373
15.5.2 文件下載和路徑遍歷 377
15.6 靜態資源 382
15.7 后臺組件之間的認證 383
15.8 SSO 385
15.9 OWASP ESAPI與授權 386
15.9.1 AccessController的實現 387
15.9.2 一個AccessController的
代碼示例 390
15.9.3 我們還需要做些什么 391
15.10 訪問控制檢查列表 393
15.11 小結 393
第16章 傳輸層保護不足 395
16.1 臥底的故事——對稱加密和
非對稱加密 395
16.2 明文傳輸問題 396
16.3 有什么危害 398
16.3.1 會話劫持 398
16.3.2 中間人攻擊 399
16.4 預防措施 399
16.4.1 密鑰交換算法 400
16.4.2 對稱加密和非對稱
加密結合 401
16.4.3 SSL/TLS 406
16.5 檢查列表 423
16.6 小結 423
第17章 未驗證的重定向和轉發 425
17.1 三角借貸的故事——
轉發和重定向 425
17.1.1 URL轉發 425
17.1.2 URL重定向 426
17.1.3 轉發與重定向的區別 429
17.1.4 URL 重定向的實現方式 430
17.2 危害 438
17.3 如何檢測 439
17.4 如何預防 440
17.4.1 OWASP ESAPI與預防 441
17.5 重定向和轉發檢查列表 443
17.6 小結 443
第5篇 安全設計、編碼十大原則
第18章 安全設計十大原則 448
設計原則1——簡單易懂 448
設計原則2——最小特權 448
設計原則3——故障安全化 450
設計原則4——保護最薄弱環節 451
設計原則5——提供深度防御 452
設計原則6——分隔 453
設計原則7——總體調節 454
設計原則8——默認不信任 454
設計原則9——保護隱私 455
設計原則10——公開設計,不要
假設隱藏秘密就是安全 455
第19章 安全編碼十大原則 457
編碼原則1——保持簡單 457
編碼原則2——驗證輸入 458
編碼原則3——注意編譯器告警 459
編碼原則4——框架和設計要
符合安全策略 459
編碼原則5——默認拒絕 460
編碼原則6——堅持最小權限原則 462
編碼原則7——凈化發送到
其他系統的數據 463
編碼原則8——深度預防 464
編碼原則9——使用有效的
質量保證技術 464
編碼原則10——采用一個安全
編碼規范 465 |
| 序: |
|
