內容提要
軟體安全測試藝術編輯推薦
本書深入講解軟體安全方面最新的實用技術,用於在破壞之前預防並識別軟體的安全問題。本書作者具有近十年套用和滲透測試方面的經驗,從簡單的“驗證”性測試方法講起,進而介紹先發制人的“攻擊”性測試方法。作者首先系統地回顧了軟體中出現的設計和編碼方面的安全漏洞,並提供了避免出現這些安全漏洞的實用指導。然後,向讀者展示了定製用戶化軟體調試工具的方法,用以對任何程式的各個方面獨立地進行測試,之後對結果進行分析,從而識別可被利用的安全漏洞。
主要內容
●如何從軟體攻擊者的角度來思考從而增強防禦策略。
●兼顧成本效益,將安全測試整合到軟體開發的生命周期。
●基於最高風險領域,使用威脅模型來排定測試的優先順序。
●構建用於進行白盒測試、灰盒測試和黑盒測試的軟體測試實驗。
●針對每個測試工程,選用恰當的工具。
●執行當前主要的軟體攻擊,從故障注入到緩衝區溢出。
●哪些缺陷在現實世界中最可能被攻擊者利用。
本書是每一個負責軟體安全的技術人員必備的讀物:無論是測試人員、QA專家、安全從業者、開發人員,還是其他相關的人員。對於IT管理人員,本書提供了經實踐檢驗的行動計畫,用於實現有效安全測試或加強現有測試流程。
作者簡介
Chris Wysopal,是Veracode公司CTO。曾任@stake公司的研發副總。他領導了無線、架構及應用程式安全工具的開發。他是LophtCrack密碼審計攻擊的合作開發者。他曾在美國國會進行過安全聲明,並曾在Black Hat大會和西點軍校講演。
Lucas Nelson,是Symantec公司的紐約地區技術經理,他領導著Semantec的Application Security Center Of Excellence(卓越應用程式安全中心),該中心主要開發一些應用程式安全實踐和指導原則,並對新員工進行應用程式測試方法的培訓。
Dino Dai Zovi,是Matasano安全公司的主要成員,為企業和供應商提供軟體安全化服務。他是在MacOSX、802.11以及硬體可視化方面受人尊敬的研究人員和權威。Dino經常出席包括Black Hat和Microsoft公司的BlueHat等大會。
Elfriede Dustin,是《Effective software testing》一書的作者,也是《Automated Software Testing》和《Quality Web Systems》這兩本書的第一作者。他是自動化測試生命周期方法(ATLM)的創始人。
目錄
本書的“美譽”
譯者序
序言
前言
致謝
關於作者
第一部分 綜述
第1章 從傳統軟體測試轉變
1.1 安全測試和軟體測試的對比
1.2 安全測試轉變的範式
1.3 高級安全測試策略
1.4 像攻擊者一樣思考
1.5 小結
第2章 漏洞是怎樣藏到軟體中的
2.1 設計漏洞與實現漏洞
2.2 常見的安全設計問題
2.3 程式語言的實現問題
2.4 平台的實現問題
2.5 常見的應用程式安全實現問題
2.6 開發過程中的問題
2.7 部署上的薄弱性
2.8 漏洞根源分類法
2.9 小結
第3章 安全的軟體開發生命周期
3.1 將安全測試融入到軟體開發生命周期中
3.2 階段1:安全原則、規則及規章
3.3 階段2:安全需求:攻擊用例
3.4 階段3:架構和設計評審/威脅建模
3.5 階段4:安全的編碼原則
3.6 階段5:白盒/黑盒/灰盒測試
3.7 階段6:判定可利用性
3.8 安全地部署應用程式
3.9 補丁管理:對安全漏洞進行管理
3.10 角色和職責
3.11 SSDL與系統開發生命周期的關係
3.12 小結
第4章 基於風險的安全測試
第5章 白盒、黑盒和灰盒測試
第二部分 攻擊演練
第6章 常見的網路故障注入
第7章 會話攻擊
第8章 Web應用程式的常見問題
第9章 使用WebScarab
第10章 實現定製的偵探工具
第11章 本地故障注入
第三部分 分析
第12章 判定可利用性
