Web系統(tǒng)安全和滲透性測試基礎(chǔ)

前言

世界正經(jīng)歷一場偉大的信息革命，信息成為一種重要的戰(zhàn)略資源。它改變著人們的生活方式和工作方式，形成新的社會形態(tài)。隨著我國社會信息化進(jìn)程的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)及信息系統(tǒng)在政府機(jī)構(gòu)、企事業(yè)單位及社會團(tuán)體的工作中發(fā)揮著越來越重要的作用。然而，信息化水平的提高在帶來巨大發(fā)展機(jī)遇的同時(shí)也帶來了嚴(yán)峻的挑戰(zhàn)。由于信息系統(tǒng)是一個(gè)復(fù)雜巨系統(tǒng)，它存在著脆弱性，信息安全問題不斷暴露。信息安全關(guān)系到國家的經(jīng)濟(jì)安全、政治安全、軍事安全和文化安全。信息安全已經(jīng)成為維護(hù)國家安全和社會穩(wěn)定的一個(gè)重要因素。當(dāng)前，社會對信息安全專業(yè)人員的需求逐年增加。發(fā)展信息安全技術(shù)與產(chǎn)業(yè)，關(guān)鍵是人才。培養(yǎng)信息安全領(lǐng)域的專業(yè)人才，已成為當(dāng)務(wù)之急。高素質(zhì)的信息安全人才隊(duì)伍是保障國家重點(diǎn)基礎(chǔ)網(wǎng)絡(luò)和重要系統(tǒng)安全的基石，是制定信息安全發(fā)展戰(zhàn)略規(guī)劃與政策并建設(shè)國家信息安全保障體系的骨干力量，是發(fā)展我國信息安全產(chǎn)業(yè)的排頭兵。目前我國的信息安全教育工作仍相對滯后，信息安全人才十分匱乏，社會需求與人才供給間還存在著很大差距。如何培養(yǎng)信息安全的專業(yè)人才，是我國目前面臨的重要問題。

內(nèi)容概要

　　本書內(nèi)容從淺入深，依次逐步展開。本書共分兩部分：第一部分是Web系統(tǒng)安全基礎(chǔ)，主要介紹了Web系統(tǒng)的基礎(chǔ)和Web系統(tǒng)安全的基礎(chǔ)；第二部分是Web系統(tǒng)滲透性測試基礎(chǔ)，主要講述了Web滲透測試的步驟、Web應(yīng)用滲透性測試的框架以及如何撰寫Web滲透測試報(bào)告。另外，書中附錄部分介紹了一些常用的Web系統(tǒng)安全滲透性測試工具。　　本書是中國信息安全測評中心注冊信息安全專業(yè)人員（CISP）和注冊信息安全員（CISM）的正式教材，可作為高等院校信息安全類專業(yè)學(xué)生教材，亦可作為信息安全培訓(xùn)教材和IT信息安全從業(yè)人員的參考書籍。

書籍目錄

第一部分 Web系統(tǒng)安全基礎(chǔ)　第1章 Web系統(tǒng)基礎(chǔ)　　1.1 Web概述　　　1.1.1 URL　　　1.1.2 超文本和超媒體　　1.2 Web系統(tǒng)的結(jié)構(gòu)和組成　　　1.2.1 Web系統(tǒng)基本架構(gòu)　　　1.2.2 Web工作原理　　　1.2.3 Web服務(wù)器　　　1.2.4 Web瀏覽器　　　1.2.5 Web技術(shù)概覽　　1.3 Web系統(tǒng)及相關(guān)技術(shù)介紹　　　1.3.1 HTTP　　　1.3.2 cookie　　　1.3.3 HTML　　　1.3.4 XML　　　1.3.5 SQL　　　1.3.6 動態(tài)網(wǎng)頁技術(shù)　　　1.3.7 Web服務(wù)　　　1.3.8 客戶端交互技術(shù)AJAX　　　1.3.9 Web2.0　第2章 Web系統(tǒng)安全基礎(chǔ)　　2.1 Web安全概述　　2.2 Web系統(tǒng)面對的威脅及對策　　　2.2.1 對保密性的威脅及對策　　　2.2.2 對完整性的威脅及對策　　　2.2.3 對可用性的威脅及對策　　　2.2.4 對可追究性的威脅及對策　　2.3 Web系統(tǒng)面對的威脅及對策(服務(wù)器、客戶端、通信)　　2.4 Web安全技術(shù)介紹　　　2.4.1 IPSEC　　　2.4.2 SST/TLS　　　2.4.3 SET協(xié)議　　2.5 Web系統(tǒng)安全問題來源與預(yù)防措施分析　　　2.5.1 Web安全問題來源分析　　　2.5.2 Web安全問題預(yù)防措施第二部分 Web系統(tǒng)滲透性測試基礎(chǔ)　第3章 滲透性測試介紹　　3.1 滲透性測試概述　　3.2 滲透性測試方法　　　3.2.1 階段Ⅰ：計(jì)劃和準(zhǔn)備　　　3.2.2 階段Ⅱ：評估　　　3.2.3 階段Ⅲ：報(bào)告、清除和破壞測試過程產(chǎn)物　第4章 Web系統(tǒng)滲透性測試基礎(chǔ)　　4.1 Web系統(tǒng)滲透性測試　　　4.1.1 Web應(yīng)用程序滲透測試的概念　　　4.1.2 漏洞的概念　　　4.1.3 Web測試方法的概念　　4.2 Web應(yīng)用滲透性測試框架　　4.3 偵查分析　　　4.3.1 收集信息　　　4.3.2 分析應(yīng)用　　4.4 輸入處理　　　4.4.1 數(shù)據(jù)有效性驗(yàn)證測試　　　4.4.2 Web服務(wù)測試　　　4.4.3 AJAX測試　　4.5 訪問處理　　　4.5.1 鑒別測試　　　4.5.2 會話管理測試　　4.6 應(yīng)用邏輯　　　4.6.1 業(yè)務(wù)邏輯　　　4.6.2 拒絕服務(wù)測試　第5章 撰寫測試報(bào)告附錄：Web系統(tǒng)安全滲透性測試工具參考文獻(xiàn)

章節(jié)摘錄

插圖：4．4．1．12．2堆溢出（1）概述這一測試中，我們將檢驗(yàn)測試者是否能造成一個(gè)堆溢出，對內(nèi)存片段進(jìn)行攻擊。（2）問題描述“堆”是指用于存儲動態(tài)分配數(shù)據(jù)和全局變量的內(nèi)存片段。堆中的每一個(gè)存儲塊都有包含著內(nèi)存管理信息的標(biāo)簽，用于指明邊界。當(dāng)一個(gè)基于堆的緩沖區(qū)出現(xiàn)溢出時(shí)，這些標(biāo)簽中的控制信息就會被覆蓋；在堆管理例程釋放該緩沖區(qū)時(shí)，由于內(nèi)存地址被覆蓋將導(dǎo)致訪問異常。攻擊者可以利用該漏洞將某個(gè)設(shè)定的值寫入一段內(nèi)存單元中，覆蓋掉該內(nèi)存單元中原來的值，人為地造成溢出。實(shí)際上，攻擊者甚至可以使用惡意地址來覆蓋函數(shù)指針和存儲在GOT、．dtors或者TEB這類結(jié)構(gòu)中的各種地址。有許多堆溢出漏洞的變體，如允許對函數(shù)指針進(jìn)行覆蓋，又如由于執(zhí)行了惡意代碼造成內(nèi)存管理結(jié)構(gòu)被破壞。與棧溢出相比，對堆溢出進(jìn)行定位需要更為細(xì)密的檢查，因?yàn)榇a中需要存在一些特定的條件這些漏洞才能顯露。

編輯推薦

《Web系統(tǒng)安全和滲透性測試基礎(chǔ)》編輯推薦：信息化是當(dāng)今世界發(fā)展的大趨勢，是推動經(jīng)濟(jì)社會變革的重要力量。大力推進(jìn)信息化，是覆蓋我國現(xiàn)代化建設(shè)全局的戰(zhàn)略舉措，是貫徹落實(shí)科學(xué)發(fā)展觀，全面建設(shè)小康社會、構(gòu)建社會主義和諧社會和建設(shè)創(chuàng)新型國家的迫切需要和必然選擇。如何以信息化提升綜合國力，如何在信息化快速發(fā)展的同時(shí)確保國家信息安全，這已經(jīng)成為各國政府關(guān)心的熱點(diǎn)問題。信息安全已經(jīng)從國家政治、經(jīng)濟(jì)、軍事、文化等領(lǐng)域普及到社會團(tuán)體、企業(yè)，直到普通百姓，信息安全成為信息化的最主要的基礎(chǔ)建設(shè)之一。〈br〉從當(dāng)前形勢分析，信息安全教育工作滯后，信息安全人才極度匱乏，社會需求與人才供給間還存在著很大差距。如何培養(yǎng)信息安全的專業(yè)人才，這一新問題困擾著人們，是我國目前面臨的重要問題?！碽r〉《國家信息安全培訓(xùn)叢書》從根本出發(fā)，以求解決這一問題，推進(jìn)信息安全人員培訓(xùn)工作的順利開展。作者對于本套教材花費(fèi)了大量的精力，力圖能描畫出信息安全保障的基礎(chǔ)性的概貌，是一套十分寶貴的信息安全專業(yè)人員培訓(xùn)叢書。相信這套叢書的出版，能成為我國培養(yǎng)信息安全專業(yè)人員的重要基石。

圖書封面

圖書標(biāo)簽Tags

無

評論、評分、閱讀與下載

---

    Web系統(tǒng)安全和滲透性測試基礎(chǔ) PDF格式下載

---