安全漏洞追蹤

前言

　　你可能想知道微軟為什么要出版這樣一本關(guān)于安全測試的書，因為加強(qiáng)軟件安全是一件非常困難的事情。當(dāng)然，微軟已經(jīng)遇到過相當(dāng)多的軟件安全問題，因而有大量的經(jīng)驗供測試人員參考。在2002年可信計算計劃被提出之前，我們就已經(jīng)在微軟工作了。自微軟實施該計劃以來，我們已經(jīng)看到微軟在處理安全問題方面的重大改變。現(xiàn)在，安全問題已經(jīng)不僅僅是安全專家的職責(zé)，已經(jīng)成為了我們每一個人的責(zé)任。這本具有創(chuàng)見性的關(guān)于軟件安全測試的書，源于我們在微軟的工作經(jīng)驗以及為開發(fā)出用戶購買后能持續(xù)安全可靠運(yùn)行的軟件而做出的努力。

內(nèi)容概要

這是一本針對安全測試的書籍，同時也是一本十分適合信息安全研究人員的優(yōu)秀參考書。本書共20章，其中前3章討論了安全測試的基礎(chǔ)，包括如何從攻擊者的角度去思考測試方法，以及如何進(jìn)行威脅建模和入口點(diǎn)查找。第4章至第19章則通過詳細(xì)的示例與代碼，分別深入地闡述了網(wǎng)絡(luò)流量和內(nèi)存數(shù)據(jù)的操控方法，包括緩沖區(qū)溢出、格式化字符串、HTML腳本、XML、規(guī)范化、權(quán)限、拒絕服務(wù)、托管代碼、SQL注入和ActiveX再利用等安全漏洞追蹤方法，以及在二進(jìn)制代碼條件下查找安全漏洞的逆向工程技術(shù)。第20章論述了合理報告安全漏洞的程序，并提出了一個負(fù)責(zé)的安全漏洞公開流程。最后，本書還提供了一個適于初學(xué)者的測試用例列表。

作者簡介

Tom Gallagher，微軟Office安全測試組負(fù)責(zé)人，擅長滲透測試、編寫安全測試工具和安全培訓(xùn)。

書籍目錄

第1章 安全測試的一般方法第2章 利用威脅模型進(jìn)行安全測試第3章 查找入口點(diǎn)第4章 成為惡意的客戶端第5章 成為惡意的服務(wù)器第6章 欺騙第7章 信息泄露第8章 緩沖區(qū)溢出及堆棧/堆操縱第9章 格式化字符串攻擊第10章 HTML腳本攻擊第11章 XML問題第12章 規(guī)范化問題第13章 查找弱權(quán)限第14章 拒絕服務(wù)攻擊第15章 托管代碼問題第16章 SQL注入第17章 觀察及逆向工程第18章 ActiveX再利用攻擊第19章 其他再利用攻擊第20章 報告安全漏洞附錄A 相關(guān)工具附錄B 安全測試用例列表

媒體關(guān)注與評論

　　我們必須培養(yǎng)一類新型的測試員——一種能像惡意攻擊者那樣思考的人——一種基于白盒和黑盒測試基礎(chǔ)的通過攻擊來追蹤安全漏洞的人?！　　④浿飨孳浖w系結(jié)構(gòu)首席執(zhí)行官　比爾·蓋茨

編輯推薦

　　如何識別高風(fēng)險的入口點(diǎn)并創(chuàng)建測試用例；　　如何測試客戶端和服務(wù)器，以追蹤惡意的請求／響應(yīng)漏洞；　　如何利用黑盒和白盒測試方法揭示安全漏洞；　　如何發(fā)現(xiàn)欺騙問題，包括標(biāo)識欺騙和用戶接口欺騙；　　如何檢測能夠利用程序邏輯的漏洞，比如SQL注入；　　如何測試×ML、SOAP和Web服務(wù)的安全漏洞；　　如何識別信息泄露和弱權(quán)限問題；　　如何查找攻擊者能夠直接操縱內(nèi)存的地方；　　如何利用不同的數(shù)據(jù)表現(xiàn)方式來揭示規(guī)范化問題；　　如何曝光COM和Active×再利用攻擊?！　　栋踩┒醋粉櫋肥莵碜詫＜业耐昝赖能浖踩珳y試參考書，你將學(xué)會像攻擊者那樣去思考，并發(fā)現(xiàn)軟件中潛在的安全問題。在這本優(yōu)秀的參考書中，三位安全測試專家提供了明確實用的指南和代碼實例，幫助你在軟件發(fā)布之前發(fā)現(xiàn)、分類和評估安全漏洞。

圖書封面

圖書標(biāo)簽Tags

無

評論、評分、閱讀與下載

---

    安全漏洞追蹤 PDF格式下載

---