安全漏洞追踪
点此进入淘宝搜索页搜索分类: 图书,计算机/网络,信息安全,
作者: (美)盖弗,(美)詹弗瑞斯,(美)兰德著,钟力,朱敏,何金勇译
出 版 社: 电子工业出版社
出版时间: 2008-10-1字数: 686000版次: 1页数: 508印刷时间: 2008/10/01开本: 16开印次: 1纸张: 胶版纸I S B N : 9787121073717包装: 平装编辑推荐
软件安全一直在快速地发展,未来我们将面临今天所不知道的危险攻击,本书主要讨论以攻击者的角度、采用攻击者的方法进行安全测试的步骤,以促进大家的测试工作,从而开发出更好的软件。
本书共20章,前三章介绍了此书的背景信息,第4、5章解释了网络流量是如何被操控的,第8、9章阐述了攻击者是如何通过直接操控内存来执行任意代码的,第18、19章阐述了各种各样的再利用攻击。最后的一系列工具和一份安全测试用例列表中包含了一些适用于初学者的基本测试用例。书中绝大部分章节在开始处都有一个高度概括的概要,在结尾处会总结一些精炼的测试技巧。有些章节也包含了一些走查,你可以在自己的计算机上尝试这些步骤。
本书适用于软件测试人员、软件开发人员、学生、渗透测试人员。
内容简介
这是一本针对安全测试的书籍,同时也是一本十分适合信息安全研究人员的优秀参考书。本书共20章,其中前3章讨论了安全测试的基础,包括如何从攻击者的角度去思考测试方法,以及如何进行威胁建模和入口点查找。第4章至第19章则通过详细的示例与代码,分别深入地阐述了网络流量和内存数据的操控方法,包括缓冲区溢出、格式化字符串、HTML脚本、XML、规范化、权限、拒绝服务、托管代码、SQL注入和ActiveX再利用等安全漏洞追踪方法,以及在二进制代码条件下查找安全漏洞的逆向工程技术。第20章论述了合理报告安全漏洞的程序,并提出了一个负责的安全漏洞公开流程。最后,本书还提供了一个适于初学者的测试用例列表。
作者简介
Tom Gallagher,微软Office安全测试组负责人,擅长渗透测试、编写安全测试工具和安全培训。
目录
第1章 安全测试的一般方法
第2章 利用威胁模型进行安全测试
第3章 查找入口点
第4章 成为恶意的客户端
第5章 成为恶意的服务器
第6章 欺骗
第7章 信息泄露
第8章 缓冲区溢出及堆栈/堆操纵
第9章 格式化字符串攻击
第10章 HTML脚本攻击
第11章 XML问题
第12章 规范化问题
第13章 查找弱权限
第14章 拒绝服务攻击
第15章 托管代码问题
第16章 SQL注入
第17章 观察及逆向工程
第18章 ActiveX再利用攻击
第19章 其他再利用攻击
第20章 报告安全漏洞
附录A 相关工具
附录B 安全测试用例列表
书摘插图
第1章 安全测试的一般方法
安全测试是软件测试中最需要技术的、最耗时而同时又是最有价值的领域之一。人们通常把测试人员想像成按照软件公司所期望的方式使用软件的人。如果你是一位测试人员,就会了解测试人员通常有责任去做如下的几种主要测试:
软件适用性测试(Accessibility testing)测试软件是否能够被残障人士所使用。
……
