出版時間:2008-10 出版社:電子工業(yè)出版社 作者:(美)蓋弗,(美)詹弗瑞斯,(美)蘭德 著,鐘力,朱敏,何金勇 譯 頁數(shù):508 字?jǐn)?shù):686000
Tag標(biāo)簽:無
前言
你可能想知道微軟為什么要出版這樣一本關(guān)于安全測試的書,因為加強軟件安全是一件非常困難的事情。當(dāng)然,微軟已經(jīng)遇到過相當(dāng)多的軟件安全問題,因而有大量的經(jīng)驗供測試人員參考。在2002年可信計算計劃被提出之前,我們就已經(jīng)在微軟工作了。自微軟實施該計劃以來,我們已經(jīng)看到微軟在處理安全問題方面的重大改變。現(xiàn)在,安全問題已經(jīng)不僅僅是安全專家的職責(zé),已經(jīng)成為了我們每一個人的責(zé)任。這本具有創(chuàng)見性的關(guān)于軟件安全測試的書,源于我們在微軟的工作經(jīng)驗以及為開發(fā)出用戶購買后能持續(xù)安全可靠運行的軟件而做出的努力。
內(nèi)容概要
這是一本針對安全測試的書籍,同時也是一本十分適合信息安全研究人員的優(yōu)秀參考書。本書共20章,其中前3章討論了安全測試的基礎(chǔ),包括如何從攻擊者的角度去思考測試方法,以及如何進行威脅建模和入口點查找。第4章至第19章則通過詳細(xì)的示例與代碼,分別深入地闡述了網(wǎng)絡(luò)流量和內(nèi)存數(shù)據(jù)的操控方法,包括緩沖區(qū)溢出、格式化字符串、HTML腳本、XML、規(guī)范化、權(quán)限、拒絕服務(wù)、托管代碼、SQL注入和ActiveX再利用等安全漏洞追蹤方法,以及在二進制代碼條件下查找安全漏洞的逆向工程技術(shù)。第20章論述了合理報告安全漏洞的程序,并提出了一個負(fù)責(zé)的安全漏洞公開流程。最后,本書還提供了一個適于初學(xué)者的測試用例列表。
作者簡介
Tom Gallagher,微軟Office安全測試組負(fù)責(zé)人,擅長滲透測試、編寫安全測試工具和安全培訓(xùn)。
書籍目錄
第1章 安全測試的一般方法第2章 利用威脅模型進行安全測試第3章 查找入口點第4章 成為惡意的客戶端第5章 成為惡意的服務(wù)器第6章 欺騙第7章 信息泄露第8章 緩沖區(qū)溢出及堆棧/堆操縱第9章 格式化字符串攻擊第10章 HTML腳本攻擊第11章 XML問題第12章 規(guī)范化問題第13章 查找弱權(quán)限第14章 拒絕服務(wù)攻擊第15章 托管代碼問題第16章 SQL注入第17章 觀察及逆向工程第18章 ActiveX再利用攻擊第19章 其他再利用攻擊第20章 報告安全漏洞附錄A 相關(guān)工具附錄B 安全測試用例列表
媒體關(guān)注與評論
我們必須培養(yǎng)一類新型的測試員——一種能像惡意攻擊者那樣思考的人——一種基于白盒和黑盒測試基礎(chǔ)的通過攻擊來追蹤安全漏洞的人?! ④浿飨孳浖w系結(jié)構(gòu)首席執(zhí)行官 比爾·蓋茨
編輯推薦
如何識別高風(fēng)險的入口點并創(chuàng)建測試用例; 如何測試客戶端和服務(wù)器,以追蹤惡意的請求/響應(yīng)漏洞; 如何利用黑盒和白盒測試方法揭示安全漏洞; 如何發(fā)現(xiàn)欺騙問題,包括標(biāo)識欺騙和用戶接口欺騙; 如何檢測能夠利用程序邏輯的漏洞,比如SQL注入; 如何測試×ML、SOAP和Web服務(wù)的安全漏洞; 如何識別信息泄露和弱權(quán)限問題; 如何查找攻擊者能夠直接操縱內(nèi)存的地方; 如何利用不同的數(shù)據(jù)表現(xiàn)方式來揭示規(guī)范化問題; 如何曝光COM和Active×再利用攻擊?! 栋踩┒醋粉櫋肥莵碜詫<业耐昝赖能浖踩珳y試參考書,你將學(xué)會像攻擊者那樣去思考,并發(fā)現(xiàn)軟件中潛在的安全問題。在這本優(yōu)秀的參考書中,三位安全測試專家提供了明確實用的指南和代碼實例,幫助你在軟件發(fā)布之前發(fā)現(xiàn)、分類和評估安全漏洞。
圖書封面
圖書標(biāo)簽Tags
無
評論、評分、閱讀與下載