注冊 | 登錄讀書好,好讀書,讀好書!
讀書網(wǎng)-DuShu.com
當(dāng)前位置: 首頁出版圖書科學(xué)技術(shù)計算機(jī)/網(wǎng)絡(luò)軟件與程序設(shè)計C/C++及其相關(guān)C和C++安全編碼

C和C++安全編碼

C和C++安全編碼

定 價:¥45.00

作 者: (美)西科德 著,榮耀 等譯
出版社: 機(jī)械工業(yè)出版社
叢編項: C++設(shè)計新思維
標(biāo) 簽: VC++

ISBN: 9787111261483 出版時間: 2010-01-01 包裝: 平裝
開本: 16開 頁數(shù): 227 字?jǐn)?shù):  

內(nèi)容簡介

  本書是關(guān)于C和C++安全編碼的著作。本書介紹了C和C++程序中已經(jīng)導(dǎo)致危險的、破壞性的基本編程錯誤,包括在字符串、指針、動態(tài)內(nèi)存管理、整數(shù)、格式化輸出、文件I/O等中的漏洞或缺陷。本書還提供了對這些編程錯誤的深入剖析,并給出緩解策略,以減少或消除惡意利用漏洞的風(fēng)險。本書適合C/C++程序員、軟件安全工程師參考。洞悉軟件漏洞的成因,熟知規(guī)避之道通常而言,可利用的軟件漏洞都由本可避免的軟件缺陷所導(dǎo)致。在分析了過去10年中近18000份漏洞報告后,CERT/CC發(fā)現(xiàn)少量的根本原因?qū)е铝诉@些漏洞的產(chǎn)生。本書識別并解釋了這些原因,而且展示了預(yù)防利用漏洞的步驟。此外,本書還鼓勵程序員采用最佳安全實(shí)踐,并培養(yǎng)安全的開發(fā)理念,這不但有助于保護(hù)軟件免遭當(dāng)前的攻擊,更可使它們免遭將來可能發(fā)生的攻擊?;贑ERT/CC的報告和總結(jié),Robert Seacord系統(tǒng)地揭示了最可能導(dǎo)致安全缺陷的編程錯誤,展示了這些缺陷的利用方式,介紹了可能導(dǎo)致的后果,并提供了安全的替代做法。本書特別討論了如下技術(shù)細(xì)節(jié):改善任何C/C++應(yīng)用程序的整體安全性。抵御利用不安全的字符串操作邏輯的緩沖區(qū)溢出和棧粉碎攻擊。避免因?qū)討B(tài)內(nèi)存管理函數(shù)的不當(dāng)使用而導(dǎo)致的漏洞和安全缺陷。消除與整數(shù)相關(guān)的問題,包括整數(shù)溢出、符號錯誤以及截斷錯誤等。正確地使用格式化輸出函數(shù),避免引入格式字符串漏洞。避免I/O漏洞,包括競爭條件等。本書提供了許多針對Windows和Linux的安全代碼、不安全代碼以及利用程序的例子。如果你負(fù)責(zé)創(chuàng)建安全的C或C++軟件,或者需要保持這類軟件的安全性,本書為你提供了詳盡的專家級協(xié)助。在這方面,其他任何書籍都望塵莫及。

作者簡介

  Robert C.Seaco rd是賓夕法尼亞州匹茲堡市SEI(SoftwareEngineering Institute,軟件工程研究院)的CERT/CC(CERT/Coordination Center,CERT協(xié)調(diào)中心)高級漏洞分析師。CERT/CC定期對軟件漏洞報告進(jìn)行分析,并且評估互聯(lián)網(wǎng)及其他關(guān)鍵的基礎(chǔ)設(shè)施可能遭受的風(fēng)險,此外還從事其他一些與安全有關(guān)的研究活動。作為一名涉獵廣泛的技術(shù)專家,Robert還是《Building Sy stems from Commercial Components》(Addison—Wesley,2002)和《Modernizing Legacy Systems》(Addison—Wesley,2003)的合著者,并發(fā)表T40多篇論文,領(lǐng)域涉及軟件安全、基于組件的軟件工程、基于Web的系統(tǒng)設(shè)計、遺留系統(tǒng)的現(xiàn)代化改造、組件倉庫與搜索引擎以及用戶界面設(shè)計與開發(fā)等。Robert于1982年起在IBM開始職業(yè)編程生涯,從事通信和操作系統(tǒng)軟件研發(fā)、處理器開發(fā)以及軟件工程。Robert還為x協(xié)會(X Consortium)工作,為CDE(Common DesktopEnvironment,公共桌面環(huán)境)和x Window系統(tǒng)開發(fā)和維護(hù)代碼。他還積極參與JTCl/SC22/WGl4的C語言國際標(biāo)準(zhǔn)化工作組工作。

圖書目錄

譯者序
序言
前言
作譯者簡介
第1章 夾縫求生
1.1 衡量危險
  1.1.1 損失的現(xiàn)狀
 1.1.2 威脅的來源
  1.1.3 軟件安全
 1.2 安全概念
 1.2.1 安全策略
  1.2.2 安全缺陷
  1.2.3 漏洞
  1.2.4 利用
  1.2.5 緩解措施
1.3 C和C++
1.3.1 C和C++簡史
1.3.2 C存在的問題
1.3.3 遺留代碼
1.3.4 其他語言
1.4 開發(fā)平臺
 1.4.1 操作系統(tǒng)
  1.4.2 編譯器
1.5 本章小結(jié)
1.6 閱讀材料
第2章 字符串
2.1 字符串特征
2.2 常見的字符串操作錯誤
 2.2.1 無界字符串復(fù)制
  2.2.2 差一錯誤
  2.2.3 空結(jié)尾錯誤
  2.2.4 字符串截斷
 2.2.5 與函數(shù)無關(guān)的字符串錯誤
 2.3 字符串漏洞
 2.3.1 安全缺陷
  2.3.2 緩沖區(qū)溢出
 2.4 進(jìn)程內(nèi)存組織
 2.5 棧粉碎
 2.6 代碼注入
 2.7 弧注入
 2.8 緩解策略
  2.8.1 預(yù)防
  2.8.2 字符串流
  2.8.3 檢測和恢復(fù)
 2.9 著名的漏洞
  2.9.1 遠(yuǎn)程登錄
  2.9.2 Kerberos
  2.9.3 Metamail
 2.10 本章小結(jié)
 2.11 閱讀材料
第3章 指針詭計
 3.1 數(shù)據(jù)位置
 3.2 函數(shù)指針
 3.3 數(shù)據(jù)指針
 3.4 修改指令指針
 3.5 全局偏移表
 3.6 dtors區(qū)
 3.7 虛指針
 3.8 atexit()和on exit()函數(shù)
 3.9 longjmp()函數(shù)
 3.10 異常處理
  3.10.1 結(jié)構(gòu)化異常處理
  3.10.2 系統(tǒng)默認(rèn)異常處理
 3.11 緩解策略
……
第4章 動態(tài)內(nèi)存管理
第5章 整數(shù)安全
第6章 格式化輸出 
第7章 文件I/O
第8章 推薦的實(shí)踐
參考文獻(xiàn)
縮略語

本目錄推薦

掃描二維碼
Copyright ? 讀書網(wǎng) ranfinancial.com 2005-2020, All Rights Reserved.
鄂ICP備15019699號 鄂公網(wǎng)安備 42010302001612號