軟件安全測試藝術(shù)

內(nèi)容概要

本書囊括了應(yīng)用程序和網(wǎng)絡(luò)安全分析和測試方面的內(nèi)容。分為三部分，第一部分討論一些現(xiàn)實情況，主要介紹漏洞的產(chǎn)生、安全的軟件開發(fā)生命周期、基于風(fēng)險的安全測試和分析：白盒、黑盒和灰盒測試；第二部分主要分析網(wǎng)絡(luò)上發(fā)現(xiàn)應(yīng)用程序并對其進行攻擊的方法；第三部分介紹如何判定漏洞的可利用性。    本書內(nèi)容涉及廣泛，敘述詳盡，適合作為安全工程師、軟件測試工程師及軟件開發(fā)人員等的參考用書。

作者簡介

Chris Wysopal是Veracode公司CTO。曾任stake公司的研發(fā)副總。他領(lǐng)導(dǎo)了無線、架構(gòu)及應(yīng)用程序安全工具的開發(fā)。他是LOphtCrack密碼審計攻擊的合作開發(fā)者。他曾在美國國會進行過安全聲明，并曾在Black Hat大會和西點軍校講演。

書籍目錄

本書的“美譽”譯者序序言前言致謝關(guān)于作者第一部分 綜述  第1章 從傳統(tǒng)軟件測試轉(zhuǎn)變    1.1 安全測試和軟件測試的對比    1.2 安全測試轉(zhuǎn)變的范式    1.3 高級安全測試策略    1.4 像攻擊者一樣思考    1.5 小結(jié)  第2章 漏洞是怎樣藏到軟件中的    2.1 設(shè)計漏洞與實現(xiàn)漏洞    2.2 常見的安全設(shè)計問題    2.3 編程語言的實現(xiàn)問題    2.4 平臺的實現(xiàn)問題    2.5 常見的應(yīng)用程序安全實現(xiàn)問題    2.6 開發(fā)過程中的問題    2.7 部署上的薄弱性    2.8 漏洞根源分類法    2.9 小結(jié)  第3章 安全的軟件開發(fā)生命周期    3.1 將安全測試融入到軟件開發(fā)生命周期中    3.2 階段1：安全原則、規(guī)則及規(guī)章    3.3 階段2：安全需求：攻擊用例    3.4 階段3：架構(gòu)和設(shè)計評審/威脅建模    3.5 階段4：安全的編碼原則    3.6 階段5：白盒/黑盒/灰盒測試    3.7 階段6：判定可利用性    3.8 安全地部署應(yīng)用程序    3.9 補丁管理：對安全漏洞進行管理    3.10 角色和職責(zé)    3.11 SSDL與系統(tǒng)開發(fā)生命周期的關(guān)系     3.12 小結(jié)  第4章 基于風(fēng)險的安全測試  第5章 白盒、黑盒和灰盒測試第二部分 攻擊演練  第6章 常見的網(wǎng)絡(luò)故障注入  第7章 會話攻擊  第8章 Web應(yīng)用程序的常見問題  第9章 使用WebScarab  第10章 實現(xiàn)定制的偵探工具  第11章 本地故障注入第三部分 分析  第12章 判定可利用性

編輯推薦

本書深入講解軟件安全方面最新的實用技術(shù)，用于在破壞之前預(yù)防并識別軟件的安全問題。本書作者具有近十年應(yīng)用和滲透測試方面的經(jīng)驗，從簡單的“驗證”性測試方法講起，進而介紹先發(fā)制人的“攻擊”性測試方法。作者首先系統(tǒng)地回顧了軟件中出現(xiàn)的設(shè)計和編碼方面的安全漏洞，并提供了避免出現(xiàn)這些安全漏洞的實用指導(dǎo)。然后，向讀者展示了定制用戶化軟件調(diào)試工具的方法，用以對任何程序的各個方面獨立地進行測試，之后對結(jié)果進行分析，從而識別可被利用的安全漏洞。主要內(nèi)容●如何從軟件攻擊者的角度來思考從而增強防御策略?！窦骖櫝杀拘б?，將安全測試整合到軟件開發(fā)的生命周期?！窕谧罡唢L(fēng)險領(lǐng)域，使用威脅模型來排定測試的優(yōu)先順序?！駱?gòu)建用于進行白盒測試、灰盒測試和黑盒測試的軟件測試實驗?！襻槍γ總€測試工程，選用恰當?shù)墓ぞ??！駡?zhí)行當前主要的軟件攻擊，從故障注入到緩沖區(qū)溢出。●哪些缺陷在現(xiàn)實世界中最可能被攻擊者利用。本書是每一個負責(zé)軟件安全的技術(shù)人員必備的讀物：無論是測試人員、QA專家、安全從業(yè)者、開發(fā)人員，還是其他相關(guān)的人員。對于IT管理人員，本書提供了經(jīng)實踐檢驗的行動計劃，用于實現(xiàn)有效安全測試或加強現(xiàn)有測試流程。

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

---

    軟件安全測試藝術(shù) PDF格式下載

---