內容簡介
軟件安全問題也許是這個時代麵臨的*為重要的技術挑戰。Web應用程序讓業務、社交等網絡活動飛速發展,這同時也加劇瞭它們對軟件安全的要求。我們急需建立一個強大的方法來編寫和保護我們的互聯網、Web應用程序和數據,並基於工程和科學的原則,用一緻的、可重復的和定義的方法來測試軟件安全問題。本書正是實現這個目標的重要一步,作為一本安全測試指南,詳細講解瞭Web應用測試的“4W1H”,即“什麼是測試”、“為什麼要測試”、“什麼時間測試”、“測試哪裏”以及“如何測試”。本書適閤高等院校計算機相關專業師生閱讀,也適閤廣大軟件開發人員、測試人員以及所有對軟件安全問題感興趣的讀者閱讀。
作者簡介
OWASP是一個開源的、非盈利的全球性安全組織,緻力於應用軟件的安全研究,在業界具有一流的影響力和**性。作為OWASP麵嚮中國的區域分支,OWASP中國自2006年正式啓動,目前已擁有來自互聯網安全專業領域和政府、電信、金融、教育等相關領域的會員近5000個,形成瞭強大的專業技術實力和行業資源聚集能力,有力推動瞭共同推動瞭安全標準、安全測試工具、安全指導手冊等應用安全技術在中國的發展,成為瞭積極推動中國互聯網安全技術創新、人纔培養和行業發展的中堅力量。作為OWASP中國的運營中心,互聯網安全研究中心(Security Zone,簡稱SecZone)是國內**獨立、開源的互聯網安全研究機構。中心始終秉持引入、吸收、創新的發展宗旨,專注於互聯網安全前沿技術和OWASP項目的深度研究,常年組織開展各類開源培訓及沙龍活動,緻力於通過對國內外技術、資源的整閤、應用和創新,更好地服務業界同仁、服務行業發展,更有力地推動國內互聯網安全技術的進步與升級。
目錄
第一部分 項目概述及測試框架
第1章 OWASP測試項目 2
1.1 OWASP測試項目概述 2
1.2 測試原則 5
1.3 測試技術說明 9
1.3.1 測試技術說明概述 9
1.3.2 人工檢查及復查 9
1.3.3 軟件威脅建模 10
1.3.4 代碼審查 11
1.3.5 滲透測試 12
1.3.6 需要平衡的測試方法 13
1.3.7 關於Web應用掃描工具的注意事項 14
1.3.8 關於靜態源代碼復查工具的注意事項 15
1.3.9 安全測試需求推導 15
1.3.10 功能和非功能測試需求 18
1.3.11 安全測試集成於開發與測試工作流程 21
1.3.12 開發人員的安全測試 22
1.3.13 集成係統測試和操作測試 24
1.3.14 安全測試數據分析和報告 25
1.4 OWASP測試項目參考文獻 28
第2章 OWASP測試架構 30
2.1 OWASP測試架構概述 30
2.1.1 階段1:開發前 31
2.1.2 階段2:設計和定義階段 31
2.1.3 階段3:開發階段 33
2.1.4 階段4:部署中 33
2.1.5 階段5:維護和運行 34
2.2 典型SDLC測試流程 34
第二部分 測試方法
第3章 Web應用安全測試 36
3.1 Web應用安全測試概述 36
3.2 什麼是OWASP測試方法? 37
第4章 信息收集測試 39
4.1 搜索引擎信息搜集(OTG-INFO-001) 39
4.1.1 信息搜集概述 39
4.1.2 信息搜集測試目標 40
4.1.3 信息搜集測試方法 40
4.2 Web服務器指紋識彆(OTG-INFO-002) 42
4.2.1 Web服務器指紋識彆概述 42
4.2.2 Web服務器指紋識彆測試目標 42
4.2.3 Web服務器指紋識彆測試方法 43
4.3 審查Web服務器元文件信息泄露(OTG-INFO-003) 48
4.3.1 審查Web服務器元文件信息泄露概述 48
4.3.2 審查Web服務器元文件信息泄露測試目標 48
4.3.3 審查Web服務器元文件信息泄露測試方法 49
4.4 枚舉Web服務器的應用(OTG-INFO-004) 52
4.4.1 枚舉Web服務器的應用概述 52
4.4.2 枚舉Web服務器的應用測試目標 53
4.4.3 枚舉Web服務器的應用測試方法 53
4.5 注釋和元數據信息泄露(OTG-INFO-005) 58
4.5.1 注釋和元數據信息泄露概述 58
4.5.2 注釋和元數據信息泄露測試目標 58
4.5.3 注釋和元數據信息泄露測試方法 58
4.6 識彆應用的入口(OTG-INFO-006) 60
4.6.1 識彆應用的入口概述 60
4.6.2 識彆應用的入口測試目標 60
4.6.3 識彆應用的入口測試方法 60
4.7 映射應用程序的執行路徑(OTG-INFO-007) 62
4.7.1 映射應用程序的執行路徑概述 62
4.7.2 映射應用程序的執行路徑測試目標 63
4.7.3 映射應用程序的執行路徑測試方法 63
4.8 識彆Web應用框架(OTG-INFO-008) 64
4.8.1 識彆Web應用框架概述 64
4.8.2 識彆Web應用框架測試目標 65
4.8.3 識彆Web應用框架測試方法 65
4.9 識彆Web應用程序(OTG-INFO-009) 69
4.9.1 識彆Web應用程序概述 69
4.9.2 識彆Web應用程序測試目標 69
4.9.3 識彆Web應用程序測試方法 69
4.10 映射應用架構(OTG-INFO-010) 73
4.10.1 映射應用架構概述 73
4.10.2 映射應用架構測試方法 73
4.10.3 防護Web服務器示例 74
4.11 信息收集測試工具 75
4.12 信息收集測試參考文獻 81
4.13 信息收集測試加固措施 83
第5章 配置管理測試 87
5.1 網絡和基礎設施配置測試(OTG-CONFIG-001) 87
5.1.1 網絡和基礎設施配置測試概述 87
5.1.2 網絡和基礎設施配置測試方法 88
5.2 應用平颱配置測試(OTG-CONFIG-002) 89
5.2.1 應用平颱配置測試概述 89
5.2.2 應用平颱配置測試方法 89
5.3 敏感信息文件擴展處理測試(OTG-CONFIG-003) 94
5.3.1 敏感信息文件擴展處理測試概述 94
5.3.2 敏感信息文件擴展處理測試方法 95
5.4 對舊文件、備份和未被引用文件的敏感信息的審查(OTG-CONFIG-004) 96
5.4.1 對舊文件、備份和未被引用文件的敏感信息的審查概述 96
5.4.2 對舊文件、備份和未被引用文件的敏感信息産生的威脅 97
5.4.3 對舊文件、備份和未被引用文件的敏感信息的測試方法 98
5.5 枚舉基礎設施和應用程序管理界麵(OTG-CONFIG-005) 101
5.5.1 枚舉基礎設施和應用程序管理界麵概述 101
5.5.2 枚舉基礎設施和應用程序管理界麵測試方法 102
5.6 HTTP方法測試(OTG-CONFIG-006) 103
5.6.1 HTTP方法測試概述 103
5.6.2 任意的HTTP方法 104
5.6.3 HTTP方法測試方法 104
5.7 HTTP強製安全傳輸測試(OTG-CONFIG-007) 108
5.7.1 HTTP強製安全傳輸測試概述 108
5.7.2 HTTP強製安全傳輸測試方法 108
5.8 RIA跨域策略測試(OTG-CONFIG-008) 109
5.8.1 RIA跨域策略測試概述 109
5.8.2 跨域策略測試方法 110
5.9 配置部署管理測試工具 111
5.10 配置部署管理測試參考文獻 113
5.11 配置部署管理測試加固措施 116
第6章 身份管理測試 117
6.1 角色定義測試(OTG-IDENT-001) 117
6.1.1 角色定義測試概述 117
6.1.2 角色定義測試目標 117
6.1.3 角色定義測試方法 118
6.2 用戶注冊流程測試(OTG-IDENT-002) 118
6.2.1 用戶注冊流程測試概述 118
6.2.2 用戶注冊流程測試目標 118
6.2.3 用戶注冊流程測試方法 119
6.3 賬戶配置過程測試(OTG-IDENT-003) 120
6.3.1 賬戶配置過程測試概述 120
6.3.2 賬戶配置過程測試測試目標 120
6.3.3 賬戶配置過程測試測試方法 120
6.4 賬戶枚舉和可猜測的用戶賬戶測試(OTG-IDENT-004) 121
6.4.1 賬戶枚舉和可猜測的用戶賬戶測試概述 121
6.4.2 賬戶枚舉和可猜測的用戶賬戶測試方法 122
6.5 弱的或未實施的用戶策略測試(OTG-IDENT-005) 126
6.5.1 弱的或未實施的用戶策略測試概述 126
6.5.2 弱的或未實施的用戶策略測試目標 126
6.5.3 弱的或未實施的用戶策略測試方法 126
6.6 身份管理測試工具 126
6.7 身份管理測試參考文獻 127
6.8 身份管理測試加固措施 128
第7章 認證測試 129
7.1 憑證在加密通道中的傳輸測試(OTG-AUTHN-001) 129
7.1.1 憑證在加密通道中的傳輸測試概述 129
7.1.2 憑證在加密通道中的傳輸測試方法 130
7.2 默認用戶憑證測試(OTG-AUTHN-002) 133
7.2.1 默認用戶憑證測試概述 133
7.2.2 默認用戶憑證測試方法 133
7.3 弱鎖定機製測試(OTG-AUTHN-003) 136
7.3.1 弱鎖定機製測試概述 136
7.3.2 弱鎖定機製測試目標 136
7.3.3 弱鎖定機製測試方法 136
7.4 認證模式繞過測試(OTG-AUTHN-004) 138
7.4.1 認證模式繞過測試概述 138
7.4.2 認證模式繞過測試方法 138
7.5 記憶密碼功能存在威脅測試(OTG-AUTHN-005) 142
7.5.1 記憶密碼功能存在威脅測試概述 142
7.5.2 記憶密碼功能存在威脅測試方法 143
7.6 瀏覽器緩存威脅測試(OTG-AUTHN-006) 143
7.6.1 瀏覽器緩存威脅測試概述 143
7.6.2 瀏覽器緩存威脅測試方法 144
7.7 弱密碼策略測試(OTG-AUTHN-007) 145
7.7.1 弱密碼策略測試概述 145
7.7.2 弱密碼策略測試目標 145
7.7.3 弱密碼策略測試方法 146
7.8 弱安全問答測試(OTG-AUTHN-008) 146
7.8.1 弱安全問答測試概述 146
7.8.2 弱安全問答測試方法 147
7.9 弱密碼的更改或重設功能測試(OTG-AUTHN-009) 148
7.9.1 弱密碼的更改或重設功能測試概述 148
7.9.2 弱密碼的更改或重設功能測試目標 148
7.9.3 弱密碼的更改或重設功能測試方法 148
7.10 在輔助信道中較弱認證測試(OTG-AUTHN-010) 150
7.10.1 在輔助信道中較弱認證測試概述 150
7.10.2 在輔助信道中較弱認證測試示例 151
7.10.3 在輔助信道中較弱認證測試方法 151
7.10.4 關聯的測試用例 152
7.11 認證測試工具 152
7.12 認證測試參考文獻 153
7.13 認證測試加固措施 155
第8章 授權測試 156
8.1 目錄遍曆/文件包含測試(OTG-AUTHZ-001) 156
8.1.1 目錄遍曆/文件包含測試概述 156
8.1.2 目錄遍曆/文件包含測試方法 157
8.2 繞過授權模式測試(OTG-AUTHZ-002) 160
8.2.1 繞過授權模式測試概述 160
8.2.2 繞過授權模式測試方法 161
8.3 權限提升測試(OTG-AUTHZ-003) 161
8.3.1 權限提升測試概述 161
8.3.2 權限提升測試方法 162
8.4 不安全對象引用測試(OTG-AUTHZ-004) 163
8.4.1 不安全對象引用測試概述 163
8.4.2 不安全對象引用測試方法 163
8.5 授權測試工具 165
8.6 授權測試參考文獻 165
8.7 授權測試加固措施 166
第9章 會話管理測試 167
9.1 會話管理架構繞過測試(OTG-SESS-001) 167
9.1.1 會話管理架構繞過測試概述 167
9.1.2 會話管理架構繞過測試方法 168
9.2 Cookie屬性測試(OTG-SESS-002) 173
9.2.1 Cookie屬性測試概述 173
9.2.2 Cookie屬性測試方法 175
9.3 會話固化測試(OTG-SESS-003) 176
9.3.1 會話固化測試概述 176
9.3.2 會話固化測試方法 176
9.4 會話變量泄露測試(OTG-SESS-004) 178
9.4.1 會話變量泄露測試概述 178
9.4.2 會話變量泄露測試方法 178
9.5 跨站僞造請求(CSRF)測試(OTG-SESS-005) 181
9.5.1 跨站僞造請求(CSRF)測試概述 181
9.5.2 跨站僞造請求(CSRF)測試方法 184
9.6 會話管理測試工具 185
9.7 會話管理測試參考文獻 186
9.8 會話管理測試加固措施 188
第10章 輸入驗證測試 190
10.1 反射型跨站腳本測試(OTG-INPVAL-001) 190
10.1.1 反射型跨站腳本測試概述 190
10.1.2 反射型跨站腳本測試方法 191
10.2 存儲型跨站腳本測試(OTG-INPVAL-002) 195
10.2.1 存儲型跨站腳本測試概述 195
10.2.2 存儲型跨站腳本測試方法 196
10.3 HTTP方法篡改測試(OTG-INPVAL-003) 200
10.3.1 HTTP方法篡改測試概述 200
10.3.2 方法篡改測試方法 201
10.4 HTTP參數汙染測試(OTG-INPVAL-004) 203
10.4.1 參數汙染測試概述 203
10.4.2 參數汙染測試方法 205
10.5 SQL注入測試(OTG-INPVAL-005) 207
10.5.1 SQL注入測試概述 207
10.5.2 注入測試方法 208
10.6 LDAP測試(OTG-INPVAL-006) 245
10.6.1 LDAP測試概述 245
10.6.2 LDAP測試方法 246
10.7 ORM注入測試(OTG-INPVAL-007) 247
10.7.1 ORM注入測試概述 247
10.7.2 ORM注入測試方法 247
10.8 XML注入測試(OTG-INPVAL-008) 248
10.8.1 XML注入測試概述 248
10.8.2 XML注入測試方法 248
10.8.3 發現漏洞 250
10.9 SSI注入測試(OTG-INPVAL-009) 255
10.9.1 SSI注入測試概述 255
10.9.2 SSI注入測試方法 256
10.10 XPath注入測試(OTG-INPVAL-010) 257
10.10.1 XPath注入測試概述 257
10.10.2 XPath注入測試方法 258
10.11 IMAP/SMTP注入測試(OTG-INPVAL-011) 259
10.11.1 IMAP/SMTP注入測試概述 259
10.11.2 IMAP/SMTP注入測試方法 260
10.12 代碼注入測試(OTG-INPVAL-012) 263
10.12.1 代碼注入測試概述 263
10.12.2 代碼注入測試方法 264
10.13 命令注入測試(OTG-INPVAL-013) 266
10.13.1 命令注入測試概述 266
10.13.2 命令注入測試方法 267
10.14 緩衝區溢齣測試(OTG-INPVAL-014) 269
10.14.1 緩衝區溢齣測試概述 269
10.14.2 緩衝區溢齣測試方法 269
10.15 潛伏式漏洞測試(OTG-INPVAL-015) 278
10.15.1 潛伏式漏洞測試概述 278
10.15.2 潛伏式漏洞測試方法 279
10.16 HTTP拆分/走私測試(OTG-INPVAL-016) 281
10.16.1 HTTP拆分/走私測試概述 281
10.16.2 HTTP拆分/走私測試方法 282
10.17 輸入驗證測試工具 285
10.18 輸入驗證測試參考文獻 290
10.19 輸入驗證測試加固措施 297
第11章 錯誤處理測試 300
11.1 報錯信息測試(OTG-ERR-001) 300
11.1.1 報錯信息測試概述 300
11.1.2 報錯信息測試方法 302
11.2 堆棧軌跡測試(OTG-ERR-002) 305
11.2.1 堆棧軌跡測試概述 305
11.2.2 堆棧軌跡測試方法 306
11.3 錯誤處理測試工具 306
11.4 錯誤處理測試參考文獻 307
11.5 錯誤處理測試加固措施 307
?
第12章 加密體係脆弱性測試 310
12.1 SSL/TLS弱加密、傳輸層協議缺陷測試(OTG-CRYPST-001) 310
12.1.1 SSL/TLS弱加密、傳輸層協議缺陷測試概述 310
12.1.2 SSL/TLS弱加密、傳輸層協議缺陷測試方法 313
12.2 Padding Oracle攻擊測試(OTG-CRYPST-002) 342
12.2.1 Padding Oracle攻擊測試概述 342
12.2.2 Padding Oracle攻擊測試方法 343
12.3 通過未加密信道發送敏感數據測試(OTG-CRYPST-003) 344
12.3.1 通過未加密信道發送敏感數據測試概述 344
12.3.2 通過未加密信道發送敏感數據測試方法 345
12.4 加密體係脆弱性測試工具 347
12.5 加密體係脆弱性參考文獻 348
12.6 加密體係脆弱性加固措施(無) 351
第13章 業務邏輯測試 352
13.
安全測試指南(第4版) 下載 mobi epub pdf txt 電子書 格式