图书介绍

安全测试指南 第4版PDF|Epub|txt|kindle电子书版本网盘下载

安全测试指南 第4版
  • (美国)OWASP基金会著OWASP中国;SECZONE译 著
  • 出版社: 北京:电子工业出版社
  • ISBN:9787121292088
  • 出版时间:2016
  • 标注页数:460页
  • 文件大小:57MB
  • 文件页数:485页
  • 主题词:软件可靠性-测试-指南

PDF下载


点此进入-本书在线PDF格式电子书下载【推荐-云解压-方便快捷】直接下载PDF格式图书。移动端-PC端通用
种子下载[BT下载速度快]温馨提示:(请使用BT下载软件FDM进行下载)软件下载地址页直链下载[便捷但速度慢]  [在线试读本书]   [在线获取解压码]
点击复制MD5值:d702a88908c9eec508793e151f121c6a

下载说明

安全测试指南 第4版PDF格式电子书版下载

下载的文件为RAR压缩包。需要使用解压软件进行解压得到PDF格式图书。

点击复制85GB完整离线版磁力链接到迅雷FDM等BT下载工具进行下载  详情点击-查看共享计划
建议使用BT下载工具Free Download Manager进行下载,简称FDM(免费,没有广告,支持多平台)。本站资源全部打包为BT种子。所以需要使用专业的BT下载软件进行下载。如BitComet qBittorrent uTorrent等BT下载工具。迅雷目前由于本站不是热门资源。不推荐使用!后期资源热门了。安装了迅雷也可以迅雷进行下载!

(文件页数 要大于 标注页数,上中下等多册电子书除外)

注意:本站所有压缩包均有解压码: 点击下载压缩包解压工具

图书目录

第一部分 项目概述及测试框架2

第1章 OWASP测试项目2

1.1 OWASP测试项目概述2

1.2 测试原则5

1.3 测试技术说明9

1.3.1 测试技术说明概述9

1.3.2 人工检查及复查9

1.3.3 软件威胁建模10

1.3.4 代码审查11

1.3.5 渗透测试12

1.3.6 需要平衡的测试方法13

1.3.7 关于Web应用扫描工具的注意事项14

1.3.8 关于静态源代码复查工具的注意事项15

1.3.9 安全测试需求推导15

1.3.10 功能和非功能测试需求18

1.3.11 安全测试集成开发与测试工作流程21

1.3.12 开发人员的安全测试22

1.3.13 集成系统测试和操作测试24

1.3.14 安全测试数据分析和报告25

1.4 OWASP测试项目参考文献28

第2章 OWASP测试架构30

2.1 OWASP测试架构概述30

2.1.1 阶段1:开发前31

2.1.2 阶段2:设计和定义阶段31

2.1.3 阶段3:开发阶段33

2.1.4 阶段4:部署中33

2.1.5 阶段5:维护和运行34

2.2 典型SDLC测试流程34

第二部分 测试方法36

第3章 Web应用安全测试36

3.1 Web应用安全测试概述36

3.2 什么是OWASP测试方法37

第4章 信息收集测试39

4.1 搜索引擎信息收集(OTG-INFO-001)39

4.1.1 信息收集概述39

4.1.2 信息收集测试目标40

4.1.3 信息收集测试方法40

4.2 Web服务器指纹识别(OTG-INFO-002)42

4.2.1 Web服务器指纹识别概述42

4.2.2 Web服务器指纹识别测试目标42

4.2.3 Web服务器指纹识别测试方法43

4.3 审查Web服务器元文件信息泄露(OTG-INFO-003)48

4.3.1 审查Web服务器元文件信息泄露概述48

4.3.2 审查Web服务器元文件信息泄露测试目标48

4.3.3 审查Web服务器元文件信息泄露测试方法49

4.4 枚举Web服务器的应用(OTG-INFO-004)52

4.4.1 枚举Web服务器的应用概述52

4.4.2 枚举Web服务器的应用测试目标53

4.4.3 枚举Web服务器的应用测试方法53

4.5 注释和元数据信息泄露(OTG-INFO-005)58

4.5.1 注释和元数据信息泄露概述58

4.5.2 注释和元数据信息泄露测试目标58

4.5.3 注释和元数据信息泄露测试方法58

4.6 识别应用的入口(OTG-INFO-006)60

4.6.1 识别应用的入口概述60

4.6.2 识别应用的入口测试目标60

4.6.3 识别应用的入口测试方法60

4.7 映射应用程序的执行路径(OTG-INFO-007)62

4.7.1 映射应用程序的执行路径概述62

4.7.2 映射应用程序的执行路径测试目标63

4.7.3 映射应用程序的执行路径测试方法63

4.8 识别Web应用框架(OTG-INFO-008)64

4.8.1 识别Web应用框架概述64

4.8.2 识别Web应用框架测试目标65

4.8.3 识别Web应用框架测试方法65

4.9 识别Web应用程序(OTG-INFO-009)69

4.9.1 识别Web应用程序概述69

4.9.2 识别Web应用程序测试目标69

4.9.3 识别Web应用程序测试方法69

4.10 映射应用架构(OTG-INFO-010)73

4.10.1 映射应用架构概述73

4.10.2 映射应用架构测试方法73

4.10.3 防护Web服务器示例74

4.11 信息收集测试工具75

4.12 信息收集测试参考文献81

4.13 信息收集测试加固措施83

第5章 配置管理测试87

5.1 网络和基础设施配置测试(OTG-CONFIG-001)87

5.1.1 网络和基础设施配置测试概述87

5.1.2 网络和基础设施配置测试方法88

5.2 应用平台配置测试(OTG-CONFIG-002)89

5.2.1 应用平台配置测试概述89

5.2.2 应用平台配置测试方法89

5.3 敏感信息文件扩展处理测试(OTG-CONFIG-003)94

5.3.1 敏感信息文件扩展处理测试概述94

5.3.2 敏感信息文件扩展处理测试方法95

5.4 对旧文件、备份和未被引用文件的敏感信息的审查(OTG-CONFIG-004)96

5.4.1 对旧文件、备份和未被引用文件的敏感信息的审查概述96

5.4.2 对旧文件、备份和未被引用文件的敏感信息产生的威胁97

5.4.3 对旧文件、备份和未被引用文件的敏感信息的测试方法98

5.5 枚举基础设施和应用程序管理界面(OTG-CONFIG-005)101

5.5.1 枚举基础设施和应用程序管理界面概述101

5.5.2 枚举基础设施和应用程序管理界面测试方法102

5.6 HTTP方法测试(OTG-CONFIG-006)103

5.6.1 HTTP方法测试概述103

5.6.2 任意的HTTP方法104

5.6.3 HTTP方法测试方法104

5.7 HTTP强制安全传输测试(OTG-CONFIG-007)108

5.7.1 HTTP强制安全传输测试概述108

5.7.2 HTTP强制安全传输测试方法108

5.8 RIA跨域策略测试(OTG-CONFIG-008)109

5.8.1 RIA跨域策略测试概述109

5.8.2 跨域策略测试方法110

5.9 配置部署管理测试工具111

5.10 配置部署管理测试参考文献113

5.11 配置部署管理测试加固措施116

第6章 身份管理测试117

6.1 角色定义测试(OTG-IDENT-001)117

6.1.1 角色定义测试概述117

6.1.2 角色定义测试目标117

6.1.3 角色定义测试方法118

6.2 用户注册流程测试(OTG-IDENT-002)118

6.2.1 用户注册流程测试概述118

6.2.2 用户注册流程测试目标118

6.2.3 用户注册流程测试方法119

6.3 账户配置过程测试(OTG-IDENT-003)120

6.3.1 账户配置过程测试概述120

6.3.2 账户配置过程测试测试目标120

6.3.3 账户配置过程测试测试方法120

6.4 账户枚举和可猜测的用户账户测试(OTG-IDENT-004)121

6.4.1 账户枚举和可猜测的用户账户测试概述121

6.4.2 账户枚举和可猜测的用户账户测试方法122

6.5 弱的或未实施的用户策略测试(OTG-IDENT-005)126

6.5.1 弱的或未实施的用户策略测试概述126

6.5.2 弱的或未实施的用户策略测试目标126

6.5.3 弱的或未实施的用户策略测试方法126

6.6 身份管理测试工具126

6.7 身份管理测试参考文献127

6.8 身份管理测试加固措施128

第7章 认证测试129

7.1 凭证在加密通道中的传输测试(OTG-AUTHN-001)129

7.1.1 凭证在加密通道中的传输测试概述129

7.1.2 凭证在加密通道中的传输测试方法130

7.2 默认用户凭证测试(OTG-AUTHN-002)133

7.2.1 默认用户凭证测试概述133

7.2.2 默认用户凭证测试方法133

7.3 弱锁定机制测试(OTG-AUTHN-003)136

7.3.1 弱锁定机制测试概述136

7.3.2 弱锁定机制测试目标136

7.3.3 弱锁定机制测试方法136

7.4 认证模式绕过测试(OTG-AUTHN-004)138

7.4.1 认证模式绕过测试概述138

7.4.2 认证模式绕过测试方法138

7.5 记忆密码功能存在威胁测试(OTG-AUTHN-005)142

7.5.1 记忆密码功能存在威胁测试概述142

7.5.2 记忆密码功能存在威胁测试方法143

7.6 浏览器缓存威胁测试(OTG-AUTHN-006)143

7.6.1 浏览器缓存威胁测试概述143

7.6.2 浏览器缓存威胁测试方法144

7.7 弱密码策略测试(OTG-AUTHN-007)145

7.7.1 弱密码策略测试概述145

7.7.2 弱密码策略测试目标145

7.7.3 弱密码策略测试方法146

7.8 弱安全问答测试(OTG-AUTHN-008)146

7.8.1 弱安全问答测试概述146

7.8.2 弱安全问答测试方法147

7.9 弱密码的更改或重设功能测试(OTG-AUTHN-009)148

7.9.1 弱密码的更改或重设功能测试概述148

7.9.2 弱密码的更改或重设功能测试目标148

7.9.3 弱密码的更改或重设功能测试方法148

7.10 在辅助信道中较弱认证测试(OTG-AUTHN-010)150

7.10.1 在辅助信道中较弱认证测试概述150

7.10.2 在辅助信道中较弱认证测试示例151

7.10.3 在辅助信道中较弱认证测试方法151

7.10.4 关联的测试用例152

7.11 认证测试工具152

7.12 认证测试参考文献153

7.13 认证测试加固措施155

第8章 授权测试156

8.1 目录遍历/文件包含测试(OTG-AUTHZ-001)156

8.1.1 目录遍历/文件包含测试概述156

8.1.2 目录遍历/文件包含测试方法157

8.2 绕过授权模式测试(OTG-AUTHZ-002)160

8.2.1 绕过授权模式测试概述160

8.2.2 绕过授权模式测试方法161

8.3 权限提升测试(OTG-AUTHZ-003)161

8.3.1 权限提升测试概述161

8.3.2 权限提升测试方法162

8.4 不安全对象引用测试(OTG-AUTHZ-004)163

8.4.1 不安全对象引用测试概述163

8.4.2 不安全对象引用测试方法163

8.5 授权测试工具165

8.6 授权测试参考文献165

8.7 授权测试加固措施166

第9章 会话管理测试167

9.1 会话管理架构绕过测试(OTG-SESS-001)167

9.1.1 会话管理架构绕过测试概述167

9.1.2 会话管理架构绕过测试方法168

9.2 Cookie属性测试(OTG-SESS-002)173

9.2.1 Cookie属性测试概述173

9.2.2 Cookie属性测试方法175

9.3 会话固化测试(OTG-SESS-003)176

9.3.1 会话固化测试概述176

9.3.2 会话固化测试方法176

9.4 会话变量泄露测试(OTG-SESS-004)178

9.4.1 会话变量泄露测试概述178

9.4.2 会话变量泄露测试方法178

9.5 跨站伪造请求(CSRF)测试(OTG-SESS-005)181

9.5.1 跨站伪造请求(CSRF)测试概述181

9.5.2 跨站伪造请求(CSRF)测试方法184

9.6 会话管理测试工具185

9.7 会话管理测试参考文献186

9.8 会话管理测试加固措施188

第10章 输入验证测试190

10.1 反射型跨站脚本测试(OTG-INPVAL-001)190

10.1.1 反射型跨站脚本测试概述190

10.1.2 反射型跨站脚本测试方法191

10.2 存储型跨站脚本测试(OTG-INPVAL-002)195

10.2.1 存储型跨站脚本测试概述195

10.2.2 存储型跨站脚本测试方法196

10.3 HTTP方法篡改测试(OTG-INPVAL-003)200

10.3.1 HTTP方法篡改测试概述200

10.3.2 方法篡改测试方法201

10.4 HTTP参数污染测试(OTG-INPVAL-004)203

10.4.1 参数污染测试概述203

10.4.2 参数污染测试方法205

10.5 SQL注入测试(OTG-INPVAL-005)207

10.5.1 SQL注入测试概述207

10.5.2 注入测试方法208

10.6 LDAP测试(OTG-INPVAL-006)245

10.6.1 LDAP测试概述245

10.6.2 LDAP测试方法246

10.7 ORM注入测试(OTG-INPVAL-007)247

10.7.1 ORM注入测试概述247

10.7.2 ORM注入测试方法247

10.8 XML注入测试(OTG-INPVAL-008)248

10.8.1 XML注入测试概述248

10.8.2 XML注入测试方法248

10.8.3 发现漏洞250

10.9 SSI注入测试(OTG-INPVAL-009)255

10.9.1 SSI注入测试概述255

10.9.2 SSI注入测试方法256

10.10 XPath注入测试(OTG-INPVAL-010)257

10.10.1 XPath注入测试概述257

10.10.2 XPath注入测试方法258

10.11 IMAP/SMTP注入测试(OTG-INPVAL-011)259

10.11.1 IMAP/SMTP注入测试概述259

10.11.2 IMAP/SMTP注入测试方法260

10.12 代码注入测试(OTG-INPVAL-012)263

10.12.1 代码注入测试概述263

10.12.2 代码注入测试方法264

10.13 命令注入测试(OTG-INPVAL-013)266

10.13.1 命令注入测试概述266

10.13.2 命令注入测试方法267

10.14 缓冲区溢出测试(OTG-INPVAL-014)269

10.14.1 缓冲区溢出测试概述269

10.14.2 缓冲区溢出测试方法269

10.15 潜伏式漏洞测试(OTG-INPVAL-015)278

10.15.1 潜伏式漏洞测试概述278

10.15.2 潜伏式漏洞测试方法279

10.16 HTTP拆分/走私测试(OTG-INPVAL-016)281

10.16.1 HTTP拆分/走私测试概述281

10.16.2 HTTP拆分/走私测试方法281

10.17 输入验证测试工具285

10.18 输入验证测试参考文献290

10.19 输入验证测试加固措施297

第11章 错误处理测试300

11.1 报错信息测试(OTG-ERR-001)300

11.1.1 报错信息测试概述300

11.1.2 报错信息测试方法302

11.2 堆栈轨迹测试(OTG-ERR-002)305

11.2.1 堆栈轨迹测试概述305

11.2.2 堆栈轨迹测试方法306

11.3 错误处理测试工具306

11.4 错误处理测试参考文献307

11.5 错误处理测试加固措施307

第12章 加密体系脆弱性测试310

12.1 SSL/TLS弱加密、传输层协议缺陷测试(OTG-CRYPST-001)310

12.1.1 SSL/TLS弱加密、传输层协议缺陷测试概述310

12.1.2 SSL/TLS弱加密、传输层协议缺陷测试方法313

12.2 Padding Oracle攻击测试(OTG-CRYPST-002)342

12.2.1 Padding Oracle攻击测试概述342

12.2.2 Padding Oracle攻击测试方法343

12.3 通过未加密信道发送敏感数据测试(OTG-CRYPST-003)344

12.3.1 通过未加密信道发送敏感数据测试概述344

12.3.2 通过未加密信道发送敏感数据测试方法345

12.4 加密体系脆弱性测试工具347

12.5 加密体系脆弱性参考文献348

12.6 加密体系脆弱性加固措施351

第13章 业务逻辑测试352

13.1 业务逻辑数据验证测试(OTG-BUSLOGIC-001)354

13.1.1 业务逻辑数据验证测试概述354

13.1.2 业务逻辑数据验证测试示例355

13.1.3 业务逻辑数据验证测试方法355

13.2 伪造请求的测试(OTG-BUSLOGIC-002)356

13.2.1 伪造请求的测试概述356

13.2.2 伪造请求的测试示例357

13.2.3 伪造请求的测试方法357

13.3 完整性检查测试(OTG-BUSLOGIC-003)358

13.3.1 完整性检查测试概述358

13.3.2 完整性检查测试示例359

13.3.3 完整性检查测试方法359

13.4 处理耗时测试(OTG-BUSLOGIC-004)360

13.4.1 处理耗时测试概述360

13.4.2 处理耗时测试示例361

13.4.3 处理耗时测试方法361

13.5 功能使用次数限制(OTG-BUSLOGIC-005)361

13.5.1 功能使用次数限制概述361

13.5.2 功能使用次数限制示例362

13.5.3 功能使用次数限制测试方法362

13.6 工作流程逃逸的测试(OTG-BUSLOGIC-006)362

13.6.1 工作流程逃逸的测试概述362

13.6.2 工作流程逃逸的测试示例363

13.6.3 工作流程逃逸的测试方法363

13.7 防御应用程序滥用测试(OTG-BUSLOGIC-007)364

13.7.1 防御应用程序滥用测试概述364

13.7.2 防御应用程序滥用测试示例364

13.7.3 防御应用程序滥用测试方法365

13.8 意外文件类型上传测试(OTG-BUSLOGIC-008)366

13.8.1 意外文件类型上传测试概述366

13.8.2 意外文件类型上传测试示例367

13.8.3 意外文件类型上传测试方法367

13.9 恶意文件上传测试(OTG-BUSLOGIC-009)367

13.9.1 恶意文件上传测试概述367

13.9.2 恶意文件上传测试示例368

13.9.3 恶意文件上传测试方法368

13.10 业务逻辑测试工具369

13.11 业务逻辑测试参考文献371

13.12 业务逻辑测试加固措施376

第14章 客户端测试378

14.1 基于DOM的跨站脚本测试(OTG-CLIENT-001)378

14.1.1 基于DOM的跨站脚本测试概述378

14.1.2 基于DOM的跨站脚本的测试方法378

14.2 JavaScript执行测试(OTG-CLIENT-002)381

14.2.1 JavaScript执行测试概述381

14.2.2 JavaScript执行测试方法381

14.3 HTML注入测试(OTG-CLIENT-003)382

14.3.1 HTML注入测试概述382

14.3.2 HTML注入测试方法382

14.4 客户端URL重定向测试(OTG-CLIENT-004)384

14.4.1 客户端URL重定向测试概述384

14.4.2 客户端URL重定向测试方法384

14.5 CSS注入测试(OTG-CLIENT-005)385

14.5.1 CSS注入测试概述385

14.5.2 CSS注入测试方法386

14.6 客户端资源处理测试(OTG-CLIENT-006)388

14.6.1 客户端资源处理测试概述388

14.6.2 客户端资源处理测试方法388

14.7 跨源资源共享测试(OTG-CLIENT-007)390

14.7.1 跨源资源共享测试概述390

14.7.2 跨源资源共享测试方法391

14.8 跨站Flash测试(OTG-CLIENT-008)395

14.8.1 跨站Flash测试概述395

14.8.2 跨站Flash测试方法395

14.9 点击劫持测试(OTG-CLIENT-009)401

14.9.1 点击劫持测试概述401

14.9.2 点击劫持测试方法402

14.10 WebSockets测试(OTG-CLIENT-010)411

14.10.1 WebSockets测试概述411

14.10.2 WebSockets测试方法412

14.11 Web消息测试(OTG-CLIENT-011)414

14.11.1 Web消息测试概述414

14.11.2 Web消息测试方法415

14.12 本地存储测试(OTG-CLIENT-012)417

14.12.1 本地存储测试概述417

14.12.2 本地存储测试方法417

14.13 客户端测试工具419

14.14 客户端测试参考文献421

14.15 客户端测试加固措施425

第三部分 测试报告428

第15章 报告428

附录A测试工具430

附录B推荐读物439

附录C模糊测试向量444

附录D编码注入452

附录E测试项列表455

热门推荐