《Web安全测试》PDF下载

  • 购买积分:11 如何计算积分?
  • 作  者:(美)StevenSplaine著;李昂,王梅蓉,金旭等译
  • 出 版 社:北京:机械工业出版社
  • 出版年份:2003
  • ISBN:7111119088
  • 页数:264 页
图书介绍:本书分为五个部分:第一部分提供了本书的概述并阐明了本书的主要框架。第二部分为“测试计划”,并涉及围绕着计划测试效果的一些相关事项。第三部分“测试设计”是本书的重点,大部分内容为详细列举的各种各样的可选测试,这一部分包括了第3、4、5、6、7、8章。第四部分是“测试实施”,讲述如何最好地执行这些测试,即由谁来实际做这些工作、需要使用什么工具以及以什么顺序执行测试(排列测试优先级),这部分包括第9章和

第1章 概述 3

第一部分 本书概述 3

1.1本书的目的 4

1.2本书的测试方法 5

1.3本书的组织 6

1.4本书所用的术语 7

1.4.1黑客、破解者、脚本玩家及心怀不满的内部人员 7

1.4.2测试词汇 8

1.5本书的读者对象 10

1.6小结 10

2.1需求 13

2.1.1澄清要求 13

第2章 测试计划 13

第二部分 计划测试效果 13

2.1.2安全策略 14

2.2测试计划的结构 15

2.2.1测试计划标识 17

2.2.2介绍 17

2.2.3项目范围 17

2.2.4变动控制过程 18

2.2.5待测的特性 18

2.2.6不测的特性 19

2.2.7方法 19

2.2.8通过/未通过标准 22

2.2.9暂停标准和重置要求 23

2.2.10测试交付物 23

2.2.11环境需要 27

2.2.12配置管理 27

2.2.13责任 29

2.2.14提供人员和培训需要 30

2.2.15进度 31

2.2.16项目结束 31

2.2.17预计风险和应急措施 32

2.2.18情况 33

2.2.19假设 33

2.2.20约束和依赖 33

2.2.21简写和定义 33

2.2.22引用 34

2.2.23批准 34

2.3主测试计划 34

2.4小结 35

第三部分 测试设计 39

第3章 网络安全 39

3.1界定方法 40

3.2界定样例 41

3.2.1旅馆连锁店 41

3.2.2家具制造厂 42

3.2.3会计公司 42

3.2.4搜索引擎 43

3.2.5测试实验室 43

3.2.6暂停标准 44

3.3设备清单 44

3.4网络拓扑 46

3.5确认网络设计 47

3.5.1网络设计修订 48

3.5.2网络设计检验 48

3.6核对设备清单 49

3.6.1物理位置 49

3.6.2未授权的设备 50

3.6.3网络地址 51

3.7核对网络拓扑 53

3.7.1网络连接 53

3.7.2设备可访问性 54

3.8补充的网络安全 56

3.8.1网络地址破坏 56

3.8.2安全的LAN通信 58

3.8.3无线网段 59

3.8.4 DoS攻击 59

3.9小结 62

第4章 系统软件安全 65

4.1安全认证 65

4.2补丁 66

4.3强化 69

4.4屏蔽 70

4.5服务 72

4.6目录和文件 77

4.7用户ID与密码 79

4.7.1手工猜测用户ID和密码 80

4.7.2自动猜测用户ID和密码 82

4.7.3经由社会工程获得信息 84

4.7.4心怀不满的雇员策划违法行为 84

4.8用户组 85

4.9小结 85

第5章 客户端应用程序安全 87

5.1应用程序攻击点 87

5.2客户端识别和验证 88

5.2.2基于用户拥有的东西:has-something方法 89

5.2.1基于用户知道的信息:knows-something方法 89

5.2.3基于用户是什么的特性:生物测定学方法 92

5.3用户许可 93

5.3.1功能限制 93

5.3.2数据限制 94

5.3.3功能和数据交叉限制 94

5.4测试非法导航 95

5.4.1 HTTP报头分析 95

5.4.2 HTTP报头期满 95

5.4.3客户端应用程序代码 96

5.4.4 Session ID 96

5.4.5导航工具 96

5.5客户端数据 97

5.5.1 cookie 98

5.5.3 URL 99

5.5.2 hidden字段 99

5.5.4本地数据文件 100

5.5.5 Windows注册表 100

5.6安全的客户端传输 100

5.6.1数字证书 101

5.6.2加密强度 101

5.6.3混合加密和未加密内容 102

5.6.4避免加密瓶颈 103

5.7移动式应用程序代码 104

5.7.1 ActiveX控件 105

5.7.2 Java applet 105

5.7.3客户端脚本 107

5.7.4探测特洛伊木马移动式代码 107

5.8客户端安全 110

5.8.1防火墙 110

5.8.2浏览器安全设置 111

5.8.3客户端自适应代码 113

5.8.4客户端嗅探 114

5.9小结 114

第6章 服务器端应用程序安全 117

6.1 CGI 117

6.1.1语言选择 118

6.1.2 CGI与输入数据 119

6.1.3许可和目录 120

6.1.4可扩充性 121

6.2第三方CGI脚本 122

6.3服务器端包含 123

6.4动态代码 127

6.4.1查看模板 127

6.4.4示范脚本 128

6.4.5有用的错误消息 128

6.4.2单点失败 128

6.4.3系统命令 128

6.5应用程序代码 129

6.5.1可编译源代码 129

6.5.2不可编译的源代码 129

6.5.3版权 130

6.5.4有用的错误消息 131

6.5.5旧版本 131

6.6输入数据 131

6.6.1无效数据类型 132

6.6.2无效范围 132

6.6.3缓冲区溢出 133

6.6.4扩展符 138

6.7.1数据文件名 141

6.7服务器端数据 141

6.7.2数据绊网 142

6.7.3数据保险箱 142

6.7.4 WORM 142

6.7.5数据加密 143

6.7.6数据伪装 143

6.7.7数据安全岛 144

6.7.8分布式的拷贝 144

6.7.9碎片数据 144

6.7.10由数据库管理系统加强的约束 144

6.7.11过滤的索引 145

6.8应用程序级入侵者侦查 146

6.9小结 147

7.1.1通过电话 149

7.1打击社交工程 149

第7章 潜在的攻击:防范很少考虑的安全威胁 149

7.1.2通过电子邮件 150

7.1.3通过额外的信件 151

7.1.4欺骗个人 151

7.2处理Dumpster Diver 152

7.2.1对纸张的合适处理 153

7.2.2清理头脑风暴会议之后的遗留信息 153

7.2.3正确处置电子硬件设备 153

7.3提防内部同谋 154

7.3.1预防措施和威慑手段 155

7.3.2探测措施 156

7.3.3补救和检举措施 156

7.4防止物理攻击 157

7.4.1设备的安全保护 158

7.4.3软件的安全保护 160

7.4.2硬件的安全保护 160

7.4.4数据的安全保护 161

7.5对自然灾难的预防 161

7.6防止恶意破坏 162

7.7小结 162

第8章 入侵者混淆、探测和响应 165

8.1入侵者混淆 165

8.1.1动态防护 165

8.1.2欺骗性防护 166

8.1.3 honey pot 166

8.1.4侵入混淆的评价 168

8.2侵入探测 169

8.2.1侵入探测系统 169

8.2.2审计跟踪 171

8.2.3绊网与校验和 173

8.2.4有害软件 174

8.2.5监控 176

8.3侵入响应 178

8.3.1侵入确认 178

8.3.2破坏遏制 178

8.3.3破坏评估和法律调查 179

8.3.4破坏控制和恢复 181

8.3.5系统抢救和恢复 181

8.3.6通知 182

8.3.7起诉和反攻击 183

8.3.8策略检查 183

8.4小结 184

9.1.1自己做 187

9.1人员选择 187

第四部分 测试实施 187

第9章 评估和渗透选择 187

9.1.2请专业公司做 188

9.1.3自己做和请专业公司做结合的测试方法 194

9.2测试工具 195

9.2.1人工方法 195

9.2.2自动方法 195

9.2.3工具评价 197

9.3小结 201

第10章 风险分析 203

10.1重用 203

10.1.1资产审核 204

10.1.2漏洞树和攻击树 204

10.1.3差距分析 206

10.2.1设备清单 207

10.2测试优先级 207

10.2.2威胁 208

10.2.3业务影响 210

10.2.4风险可能性 212

10.2.5计算相对危险程度 213

10.2.6标识和指定候选测试 215

10.2.7优先级修改 215

10.2.8测试时间表 216

10.2.9 FMECA 217

10.3小结 218

第五部分 附录 221

附录A 网络协议、地址和设备概述 221

附录B SANS评出的前20种关键的Internet安全漏洞 235

附录C 可交付的测试模板 237

附录D 其他资源 241