分享
 
 
 

模糊测试强制性安全漏洞发掘(FUZZING:Brute Force Vulnerability Discovery)

模糊测试强制性安全漏洞发掘(FUZZING:Brute Force Vulnerability Discovery)  点此进入淘宝搜索页搜索
  特别声明:本站仅为商品信息简介,并不出售商品,您可点击文中链接进入淘宝网搜索页搜索该商品,有任何问题请与具体淘宝商家联系。
  參考價格: 点此进入淘宝搜索页搜索
  分類: 图书,计算机与互联网,软件工程及软件方法学,软件工程理论,
  品牌: 斯顿

基本信息·出版社:机械工业出版社

·页码:363 页

·出版日期:2009年

·ISBN:7111257553/9787111257554

·条形码:9787111257554

·包装版本:1版

·装帧:平装

·开本:16

·正文语种:中文

·外文书名:FUZZING:Brute Force Vulnerability Discovery

产品信息有问题吗?请帮我们更新产品信息。

内容简介《模糊测试强制性安全漏洞发掘》主要内容包括:模糊测试的工作原理,模糊测试相比其他安全性测试方法的关键优势,模糊测试在查找网络协议,文件格式及Web应用安全漏洞中的技术现状等。演示了自动模糊工具的用法,并给出多个说明模糊测试强大效力的历史案例。《模糊测试强制性安全漏洞发掘》可作为开发者,安全工程师、测试人员以及QA专业人员的参考用书。

作者简介作者简介:

Michael Sutton是SPI Dynamics公司的安全布道师。他还是Web应用安全组织(WASC)的成员,负责其中的Web应用安全统计项目。

Adam Greene目前担任纽约某大型金融新闻公司的工程师。此前他曾经是iDefense公司的工程师,这是位于Reston,VA的一家智能技术公司。Adam Greene在计算机安全领域的主要研究兴趣是可靠挖掘方法,模糊测试和基于UNIX系统的审核和挖掘开发。

Pedram Amini是TippingPoint公司的安全研究和产品安全评估组的项目领导。此前他曾经是iDefence实验室的主任助手,同时也是该实验室的创建者之一。他的主要兴趣是研究逆向工程——开发自动支持工具、插件和脚本。

这三位作者经常出席Black Hat安全大会井在其中做主题报告。

译者简介:

黄陇,男,博士,中国人民解放军总参陆航研究所高级工程师,北京航空航天大学软件工程研究所出站博士后,在国内重要期刊和国际会议上发表论文20余篇,曾获得全军科技进步奖,长期从事软件测试理论、方法和技术工具的研究开发,出版多部该领域的译著。

于莉莉,女,中国人民解放军第二炮兵软件测试中心资深软件测评工程师,北京航空航天大学软件工程研究所博士研究生,自2005年起先后负责十余项大型分布式军事系统软件测试项目,特别是在安全性测试领域积累了丰富的研究和工程经验。

李虎,男,博士,北京航空航天大学计算机学院讲师,北航软件测评实验室测评工程部负责人,近年来先后发表论文20余篇,其中大多被EI等著名检索机构收录,多个著名计算机科学类杂志的审稿人,主持包括国家自然科学基金在内的多项国家级科研项目,曾获国防科学技术三等奖,申请国家技术发明专利2件,获得发明专利1件,在软件工程,软件测试和质量保证领域出版专译著十余部。

编辑推荐掌握揭露安全性缺陷的最强大技术模糊测试现在已经发展成为一种最有效的软件安全性测试方法。模糊测试是指将一个随机的数据源作为程序的输入,然后系统地找出这些输入所引起的程序失效。著名的模糊测试专家将告诉你如何抢在别人之前使用模糊测试来揭示软件的弱点。《模糊测试强制性安全漏洞发掘》是第一部也是唯一一部自始至终讨论模糊测试的专著,将以往非正式的技巧转变为训练有素的最佳实践,进而将其总结为一种技术。作者首先回顾了模糊测试的工作原理并勾勒出模糊测试相比其他安全性测试方法的关键优势。然后,介绍了在查找网络协议,文件格式及Web应用安全漏洞中的先进的模糊测试,演示了自动模糊工具的用法,并给出多个说明模糊测试强大效力的历史案例。攻击者早已经开始使用模糊测试技术。当然,你也应该使用。不论你是一位开发者、一位安全工程师还是测试人员或QA专业人员,《模糊测试强制性安全漏洞发掘》都将教会你如何构建安全的软件系统。

目录

译者序

译者简介

序言

前言

致谢

第一部分 背景

第1章 安全鬻洞发掘方法学

1.1 白盒测试

1.1.1 源代码评审

1.1.2 工具和自动化

1.1.3 优点和缺点

1.2 黑盒测试

1.2.1 人工测试

1.2.2 自动测试或模糊测试

1.2.3 优点和缺点

1.3 灰盒测试

1.3.1 二进制审核

1.3.2 自动化的:进制审核

1.3.3 优点和缺点

1.4 小结

第2章 什么是模糊测试

2.1 模糊测试的定义

2.2 模糊测试的历史

2.3 模糊测试阶段

2.4 模糊测试的局限性和期锶

2.4.1 访问控制缺陷

2.4.2 设计逻辑不良

2.4.3者后门

2.4.4 内存破坏

2.4.5 多阶段安全漏洞

2.5 小结

第3章 模糊测试方法和模糊器类型

3.1 模糊测试方法

3.1.1 预先生成测试用例

3.1.2 随机方法

3.1.3 协议变异人工测试

3.1.4 变异或强制性测试

3.1.5 自动协议生成测试

3.2 模糊器类型

3.2.1 本地模糊器

3.2.2 远程模糊器

3.2.3 内存模糊器

3.2.4 模糊器框架

3.3小结

第48数据表示和分析

4.1 什么是协议

4 2 协议域

4 3 简单文本协议

4.4 二进制协议

4.5 网络协议

4.6 文件格式

4.7 常见的协议元素

4.7.1 名字一值对

4.7.2 块标识符

4.7.3 块长度

4.7.4 经验和

4.8 小结

第5章 有效模糊测试的需求

5.1 可重现性和文档记录

5.2 可重用性

5.3 过程状态和过程深度

5.4 跟踪、代码覆盖和度量

5.5 错误检测

5.6 资源约束

5.7 小结

第二部分 目标和自动化

第6章 自动化溯试和翻试敷据生成

第7章 环境变量和参敦的模糊测试

第8章 环境变量和参数的模糊测试:自动化

第9章 Web应用程序和服务器模糊测试

第10章 Web应用程序和服务器的模糊测试:自动化

第1l章 文件格式模糊测试

第12章 文件格式模糊测试:UNIX平台上的自动化测试

第13章 文件格式模糊溯试:Windows平台上的自动化测试

第14章 网络协议模糊测试

第15章 网络协议模糊测试:UNIX平台上的自动化测试

第16章 网络协议模糊测试:Windows

平台上的自动化测试

第17章 Web调览器模糊测试

第18章 Web浏览器的模糊溯试:自动化

第19章 内存敦据的模糊测试

第20章 内存数据的模糊测试:自动化

第三部分 高级模糊测试技术

第21章 模糊测试框架

第22章 自动化协议解析

第23章 模糊器跟踪

第24章 智能故障检测

第四部分 展望

第25章 汲取的教训

第26章 展望

……[看更多目录]

序言安全漏洞是研究安全问题的生命线。无论是执行渗透测试、评价新产品还是审核关键构件的源代码,安全漏洞都驱动着我们的决策,让我们有理由花费时间,并且很多年来一直影响着我们的选择。

源代码审核是一种白盒测试技术,这是一种很长时间以来都流行的软件产品安全漏洞检测方法。这种方法需要审核者了解编程概念和产品功能的每一个细节,深入洞察产品的运行环境。除此之外,源代码审核还有一个显而易见的缺陷——必须首先要获得产品的源代码。

幸运的是,除了白盒技术外,我们还可以使用不需要访问源代码的黑盒技术。模糊测试就是黑盒技术中的一种可选方法,这种方法在发掘那些用审核方法无法发现的产品关键安全漏洞方面披证明是成功的。模糊测试是这样的一个过程:向产品有意识地输入无效数据以期望触发错误条件或引起产品的故障。这些错误条件可以指导我们找出那些可挖掘的安全漏洞。

文摘如果询问任何一位有成就的安全领域的研究者如何发现漏洞,很可能会得到一大堆答案。为什么?因为可用于安全性测试的方法太多,每种方法都有自己的优点和缺点。没有一种方法是绝对正确的,也没有一种方法能够揭示一个给定目标下所有可能的漏洞。在较高的层次上,有三种主要的方法用来发现安全漏洞:白盒测试、黑盒测试和灰盒测试。这些方法之间的差别是由测试者可得到的资源决定的。白盒测试是一个极端,它需要对所有资源进行充分地访问。这包括访问源代码、设计规约,甚至有可能还要访问程序员本人。黑盒测试是另一个极端,它几乎不需要知道软件的内部细节,很大程度上带有盲目测试的味道。远程Web应用的Pen测试是黑盒测试的一个好例子,它不需要访问程序源码。位于两个极端方法之间的是灰盒测试,它的定义因询问的人不同而不同。就我们的应用目的而言,灰盒测试需要访问编译后得到的二进制代码,或许还要访问一些基本的文档。

本章将考察漏洞发掘的各种不同的高层和低层方法,起点是白盒测试,你以前可能听说过这种方法也被称为玻璃、透明或半透明测试。之后我们再定义黑盒测试和灰盒测试,模糊测试可能就属于后两者。我们将阐述每种方法的利弊,这些方法的利弊将成为本书后面介绍模糊测试时所需要的背景知识。模糊测试只是漏洞发掘的一种方法,了解其他可选的实用方法也是相当重要的。

 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
>>返回首頁<<
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有