• Web安全测试
21年品牌 40万+商家 超1.5亿件商品

Web安全测试

正版保障 假一赔十 可开发票

24.02 6.2折 39 全新

仅1件

广东广州
认证卖家担保交易快速发货售后保障

作者[美]PacoHope,[美]BenWalther著

出版社清华大学出版社

ISBN9787302219682

出版时间2009-09

装帧平装

开本16开

定价39元

货号6552803

上书时间2024-12-16

灵感书店

三年老店
已实名 已认证 进店 收藏店铺

   商品详情   

品相描述:全新
商品描述
作者简介

 Paco Hope是Cigital公司的一名技术经理,O’Reilly出版的Mastering FreeBSD and Open BSD Security的合著者之一,而且是软件安全和质量保证话题的常见演讲者。


目录

前言  
第1章 绪论  
 1.1 什么是安全测试  
 1.2 什么是Web应用  
 1.3 Web应用基础  
 1.4 Web应用安全测试  
 1.5 方法才是重点  
第2章 安装免费工具  
 2.1 安装Firefox  
 2.2 安装Firefox扩展  
 2.3 安装Firebug  
 2.4 安装OWASP的WebScarab  
 2.5 在Windows上安装Perl及其软件包  
 2.6 在Linux, Unix或OS X上安装Perl和使用CPAN  
 2.7 安装CAL9000  
 2.8 安装ViewState Decoder  
 2.9 安装cURL  
 2.10 安装Pornzilla  
 2.11 安装Cygwin  
 2.12 安装Nikto   
 2.13 安装Burp Suite  
 2.14 安装Apache HTTP Server  
第3章 基本观察  
 3.1 查看网页的HTML源代码  
 3.2 查看源代码,功能  
 3.3 使用Firebug观察实时的请求头  
 3.4 使用WebScarab观察实时的POST数据  
 3.5 查看隐藏表单域  
 3.6 使用TamperData观察实时的响应头  
 3.7 高亮显示JavaScript和注释  
 3.8 检测JavaScript事件  
 3.9 修改特定的元素属性  
 3.10 动态跟踪元素属性  
 3.11 结论  
第4章 面向Web的数据编码  
 4.1 辨别二进制数据表示  
 4.2 使用Base-64  
 4.3 在网页中转换Base-36数字  
 4.4 在Perl中使用Base-36  
 4.5 使用以URL方式编码的数据  
 4.6 使用HTML实体数据  
 4.7 计算散列值  
 4.8 辨别时间格式  
 4.9 以编程方式对时间值进行编码  
 4.10 解码ASP.NET的视图状态  
 4.11 解码多重编码  
第5章 篡改输入  
第6章 自动化批量扫描  
第7章 使用cURL实现特定任务的自动化  
第8章 使用LibWWWPerl实现自动化  
第9章 查找设计缺陷  
第10章 攻击AJAX  
第11章 操纵会话  
第12章 多层面的测试

内容摘要
    三层Web应用

     如果开发人员决定将工作划分为三层或更多层,那么他们有许多组件可供选择。大多数复杂到包含3个组件的应用往往会使用重量级框架,比如J2EE和.NET。JSP可以作为会话层,而servlet则用于实现应用层。很后,额外的数据存储组件,比如Oracle或SQLServer数据库实现了数据层。

     如果有若干层,那么就有若干独立的应用编程接口(API)可供测试。例如,如果表示层处理会话,你就需要看是否能够欺骗应用层,使之为伪装的会话执行指令。

     层数对测试的影响

     了解应用中组件之间的关系对你的测试有重要的影响。只有当所有组件都正常工作时,应用才能够完成它的使命。你已经知道几种可以用于检査测试以评估其效果的方法。例如,测试覆盖率有多种测量方法:测试覆盖了多少行代码?测试覆盖了多少需求?我们能生成多少种已知的错误条件?既然你理解了架构组件的存在和作用,则可以考虑测试覆盖了应用中的多少组件。

     作为一名测试人员,你能够向开发人员提供的有关错误的根本起因或位置的信息越多,错误就越能够得到更快更准确的修复。例如,知道错误出现在会话层或数据层特别有助于为开发人员指出正确的解决方向。如果迫于压力不得不缩减为了验证补丁或变更而执行的测试,那么在决定哪些测试很为重要时,你可以将架构这个因素考虑在内。如果修改了数据模式,则不妨试着围绕以数据为中心的测试来组织测试,并将重点放在该组件上。如果修改了会话处理方式,则不妨找出你的会话管理测试,并优优选行这些测试。

     1.4Web应用安全测试

     现在,让我们将所有这些概念整合起来。通过功能测试,我们设法向经理、业务人员和用户证明,这个软件可以像宣传的那样正常工作。通过安全测试,我们设法使毎个人确信,即使面临恶意输入,它仍然可以像宣传的那样正常工作。我们设法模拟真实的攻击和真实的漏洞,同时使这些模拟与我们有限的测试计划融为一体。

     因而,Web安全测试就是使用多种工具,包括手动工具和自动工具,来模拟和激发我们的Web应用的活动。我们会模拟跨站式脚本攻击等恶意输入,并使用手动或脚本的方法将它们提交给Web应用。我们将以相同的方式使用恶意SQL输入,并同样提交。在边界值中,我们将考虑使用可预测的随机性以及连续分配的标识符等取值,以确保能挫败使用这些值的普通攻击。 

    ……

主编推荐

(1)获取、安装和配置有用且免费的安全测试工具。

(2)理解你的应用如何与用户通信,这样你就可以在测试中更好地模拟攻击。

(3)从许多不同的模拟常见攻击(比如SQL注入,跨站式脚本和操纵隐藏表单域)的方法中进行选择。

(4)作为自动化测试的出发点,通过使用秘诀中的脚本和例子,使你的测试可重复。
 

精彩内容
在你对Web应用所执行的测试中,安全测试可能是要的,但它却常常是易被忽略的。本书中的秘诀演示了开发和测试人员在进行单元测试、回归测试或探索性测试的同时,如何去检查见的Web安全问题。与即兴的安全评估不同的是,这些秘诀是可重复的、简洁的、系统的——可以地集成到你的常规测试套装中。
  本书中的秘诀所覆盖的基础知识包括了从观察客户端和服务器之间的消息到使用脚本完成登录并执行Web应用功能的多阶段测试。在本书的,你将能够建立定位到Ajax函数的测试,以及适用于常见怀疑对象(跨站式脚本和注入攻击)的大型多级测试。
  本书将帮助你:
  ·获取、安装和配置有用的——且免费的——安全测试工具
  ·理解你的应用如何与用户通信,这样你就可以在测试中更好地模拟攻击
  ·从许多不同的模拟常见攻击(比如SQL注入、跨站式脚本和操纵隐藏表单域)的方法中进行选择
  ·作为自动化测试的出发点,通过使用秘诀中的脚本和例子,使你的测试可重复
  不用再担心午夜来电话告诉你站点被破坏了。通过本书和示例中所用的免费工具,你可以将安全因素加入到你的测试套装中,从而得以睡个安稳觉。

   相关推荐   

—  没有更多了  —

以下为对购买帮助不大的评价

此功能需要访问孔网APP才能使用
暂时不用
打开孔网APP