java必读书籍
他们没有在Comp Sci,工程学或MIS中教appsec,但是您却学会了编程。 而且他们可能仍然没有。 因此,您将如何得知XSS过滤器逃避或单击劫持攻击,或如何真正安全地存储密码。
您的公司无力为您提供昂贵的Appsec培训,而且您无论如何都忙于编码。 读一本书? 到目前为止,还没有一本好书解释如何编写安全的Java。
但是,这一切都改变了。 现在,您将学习如何在办公桌上,火车上或马桶上构建安全的Java应用程序。
吉姆·马尼科 ( Jim Manico)和奥古斯特 ·德特尔夫森 ( August Detlefsen)创作的 Iron Clad Java现已到货。 这是安全Java设计和编码的大师班,由真正了解其原理的人为开发人员编写。
虽然它专注于Web应用程序,但许多书同样适用于移动,云,实时和后端系统,以及Java中的任何在线系统。
没有时间浪费在理论上。 Iron Clad Java使用简单的模式,开放源代码库和OWASP的免费工具,解释了最常见,最危险的攻击以及如何防御它们。
每章都简短易读,并提供实用的最新信息(从Java 8开始)和示例代码:
- Web应用程序安全性的基础:HTTP / S,验证输入
- 访问控制:常见的反模式和错误,如何为单个公司或多租户应用设计访问控制,如何使用Apache Shiro和Spring Security
- 身份验证和会话管理:您不应该自己编写此代码(这是框架的目的),但是如果需要,请按以下步骤进行操作,以及如何记住我并忘记密码功能,多因素身份验证等
- XSS防御:如何使用OWASP Java编码器,HTML Sanitizer和JSON Sanitizer库以及JQuery编码
- CRF防御和Clickjacking:随机令牌和框架破坏
- 保护敏感数据:如何使用Google KeyCzar和Bouncy Castle正确进行签名和加密
- SQL注入和其他注入:准备您的语句
- 安全的文件上传和文件输入/输出
- 日志记录和错误处理:记录什么,不记录什么,日志框架,安全的错误处理,使用日志进行入侵检测
- SDLC中的安全性
所以没有更多的借口了。
翻译自: https://www.javacodegeeks.com/2015/01/required-reading-iron-clad-java.html
java必读书籍
)
