軟件安全測(cè)試藝術(shù)

內(nèi)容概要

本書囊括了應(yīng)用程序和網(wǎng)絡(luò)安全分析和測(cè)試方面的內(nèi)容。分為三部分，第一部分討論一些現(xiàn)實(shí)情況，主要介紹漏洞的產(chǎn)生、安全的軟件開(kāi)發(fā)生命周期、基于風(fēng)險(xiǎn)的安全測(cè)試和分析：白盒、黑盒和灰盒測(cè)試；第二部分主要分析網(wǎng)絡(luò)上發(fā)現(xiàn)應(yīng)用程序并對(duì)其進(jìn)行攻擊的方法；第三部分介紹如何判定漏洞的可利用性。    本書內(nèi)容涉及廣泛，敘述詳盡，適合作為安全工程師、軟件測(cè)試工程師及軟件開(kāi)發(fā)人員等的參考用書。

作者簡(jiǎn)介

Chris Wysopal是Veracode公司CTO。曾任stake公司的研發(fā)副總。他領(lǐng)導(dǎo)了無(wú)線、架構(gòu)及應(yīng)用程序安全工具的開(kāi)發(fā)。他是LOphtCrack密碼審計(jì)攻擊的合作開(kāi)發(fā)者。他曾在美國(guó)國(guó)會(huì)進(jìn)行過(guò)安全聲明，并曾在Black Hat大會(huì)和西點(diǎn)軍校講演。

書籍目錄

本書的“美譽(yù)”譯者序序言前言致謝關(guān)于作者第一部分 綜述  第1章 從傳統(tǒng)軟件測(cè)試轉(zhuǎn)變    1.1 安全測(cè)試和軟件測(cè)試的對(duì)比    1.2 安全測(cè)試轉(zhuǎn)變的范式    1.3 高級(jí)安全測(cè)試策略    1.4 像攻擊者一樣思考    1.5 小結(jié)  第2章 漏洞是怎樣藏到軟件中的    2.1 設(shè)計(jì)漏洞與實(shí)現(xiàn)漏洞    2.2 常見(jiàn)的安全設(shè)計(jì)問(wèn)題    2.3 編程語(yǔ)言的實(shí)現(xiàn)問(wèn)題    2.4 平臺(tái)的實(shí)現(xiàn)問(wèn)題    2.5 常見(jiàn)的應(yīng)用程序安全實(shí)現(xiàn)問(wèn)題    2.6 開(kāi)發(fā)過(guò)程中的問(wèn)題    2.7 部署上的薄弱性    2.8 漏洞根源分類法    2.9 小結(jié)  第3章 安全的軟件開(kāi)發(fā)生命周期    3.1 將安全測(cè)試融入到軟件開(kāi)發(fā)生命周期中    3.2 階段1：安全原則、規(guī)則及規(guī)章    3.3 階段2：安全需求：攻擊用例    3.4 階段3：架構(gòu)和設(shè)計(jì)評(píng)審/威脅建模    3.5 階段4：安全的編碼原則    3.6 階段5：白盒/黑盒/灰盒測(cè)試    3.7 階段6：判定可利用性    3.8 安全地部署應(yīng)用程序    3.9 補(bǔ)丁管理：對(duì)安全漏洞進(jìn)行管理    3.10 角色和職責(zé)    3.11 SSDL與系統(tǒng)開(kāi)發(fā)生命周期的關(guān)系     3.12 小結(jié)  第4章 基于風(fēng)險(xiǎn)的安全測(cè)試  第5章 白盒、黑盒和灰盒測(cè)試第二部分 攻擊演練  第6章 常見(jiàn)的網(wǎng)絡(luò)故障注入  第7章 會(huì)話攻擊  第8章 Web應(yīng)用程序的常見(jiàn)問(wèn)題  第9章 使用WebScarab  第10章 實(shí)現(xiàn)定制的偵探工具  第11章 本地故障注入第三部分 分析  第12章 判定可利用性

編輯推薦

本書深入講解軟件安全方面最新的實(shí)用技術(shù)，用于在破壞之前預(yù)防并識(shí)別軟件的安全問(wèn)題。本書作者具有近十年應(yīng)用和滲透測(cè)試方面的經(jīng)驗(yàn)，從簡(jiǎn)單的“驗(yàn)證”性測(cè)試方法講起，進(jìn)而介紹先發(fā)制人的“攻擊”性測(cè)試方法。作者首先系統(tǒng)地回顧了軟件中出現(xiàn)的設(shè)計(jì)和編碼方面的安全漏洞，并提供了避免出現(xiàn)這些安全漏洞的實(shí)用指導(dǎo)。然后，向讀者展示了定制用戶化軟件調(diào)試工具的方法，用以對(duì)任何程序的各個(gè)方面獨(dú)立地進(jìn)行測(cè)試，之后對(duì)結(jié)果進(jìn)行分析，從而識(shí)別可被利用的安全漏洞。主要內(nèi)容●如何從軟件攻擊者的角度來(lái)思考從而增強(qiáng)防御策略。●兼顧成本效益，將安全測(cè)試整合到軟件開(kāi)發(fā)的生命周期?！窕谧罡唢L(fēng)險(xiǎn)領(lǐng)域，使用威脅模型來(lái)排定測(cè)試的優(yōu)先順序?！駱?gòu)建用于進(jìn)行白盒測(cè)試、灰盒測(cè)試和黑盒測(cè)試的軟件測(cè)試實(shí)驗(yàn)?！襻槍?duì)每個(gè)測(cè)試工程，選用恰當(dāng)?shù)墓ぞ?。●?zhí)行當(dāng)前主要的軟件攻擊，從故障注入到緩沖區(qū)溢出?！衲男┤毕菰诂F(xiàn)實(shí)世界中最可能被攻擊者利用。本書是每一個(gè)負(fù)責(zé)軟件安全的技術(shù)人員必備的讀物：無(wú)論是測(cè)試人員、QA專家、安全從業(yè)者、開(kāi)發(fā)人員，還是其他相關(guān)的人員。對(duì)于IT管理人員，本書提供了經(jīng)實(shí)踐檢驗(yàn)的行動(dòng)計(jì)劃，用于實(shí)現(xiàn)有效安全測(cè)試或加強(qiáng)現(xiàn)有測(cè)試流程。

圖書封面

圖書標(biāo)簽Tags

無(wú)

評(píng)論、評(píng)分、閱讀與下載

---

    軟件安全測(cè)試藝術(shù) PDF格式下載

---