软件安全测试艺术送赠品
分類: 图书,计算机/网络,信息安全,
作者: (美)威斯波尔(Wysopal,C.) 等著,程永敬 等译
出 版 社: 机械工业出版社
出版时间: 2007-8-1字数:版次: 1页数: 213印刷时间: 2007/08/01开本:印次:纸张: 胶版纸I S B N : 9787111219736包装: 平装内容简介
本书囊括了应用程序和网络安全分析和测试方面的内容。分为三部分,第一部分讨论一些现实情况,主要介绍漏洞的产生、安全的软件开发生命周期、基于风险的安全测试和分析:白盒、黑盒和灰盒测试;第二部分主要分析网络上发现应用程序并对其进行攻击的方法;第三部分介绍如何判定漏洞的可利用性。
本书内容涉及广泛,叙述详尽,适合作为安全工程师、软件测试工程师及软件开发人员等的参考用书。
作者简介
Chris Wysopal是Veracode公司CTO。曾任stake公司的研发副总。他领导了无线、架构及应用程序安全工具的开发。他是LOphtCrack密码审计攻击的合作开发者。他曾在美国国会进行过安全声明,并曾在Black Hat大会和西点军校讲演。
目录
本书的“美誉”
译者序
序言
前言
致谢
关于作者
第一部分 综述
第1章 从传统软件测试转变
1.1 安全测试和软件测试的对比
1.2 安全测试转变的范式
1.3 高级安全测试策略
1.4 像攻击者一样思考
1.5 小结
第2章 漏洞是怎样藏到软件中的
2.1 设计漏洞与实现漏洞
2.2 常见的安全设计问题
2.3 编程语言的实现问题
2.4 平台的实现问题
2.5 常见的应用程序安全实现问题
2.6 开发过程中的问题
2.7 部署上的薄弱性
2.8 漏洞根源分类法
2.9 小结
第3章 安全的软件开发生命周期
3.1 将安全测试融入到软件开发生命周期中
3.2 阶段1:安全原则、规则及规章
3.3 阶段2:安全需求:攻击用例
3.4 阶段3:架构和设计评审/威胁建模
3.5 阶段4:安全的编码原则
3.6 阶段5:白盒/黑盒/灰盒测试
3.7 阶段6:判定可利用性
3.8 安全地部署应用程序
3.9 补丁管理:对安全漏洞进行管理
3.10 角色和职责
3.11 SSDL与系统开发生命周期的关系
3.12 小结
第4章 基于风险的安全测试
第5章 白盒、黑盒和灰盒测试
第二部分 攻击演练
第6章 常见的网络故障注入
第7章 会话攻击
第8章 Web应用程序的常见问题
第9章 使用WebScarab
第10章 实现定制的侦探工具
第11章 本地故障注入
第三部分 分析
第12章 判定可利用性