安全测试指南
¥ 31.16 3.5折 ¥ 89 九五品
仅1件
北京通州
认证卖家担保交易快速发货售后保障
作者(美国)OWASP基金会 著
出版社电子工业出版社
ISBN9787121292088
出版时间2016-07
版次1
装帧平装
开本16开
纸张胶版纸
页数484页
字数99999千字
定价89元
上书时间2024-12-02
商品详情
- 品相描述:九五品
- 商品描述
-
基本信息
书名:安全测试指南
定价:89.00元
作者:(美国)OWASP基金会 著
出版社:电子工业出版社
出版日期:2016-07-01
ISBN:9787121292088
字数:739200
页码:484
版次:4
装帧:平装
开本:16开
商品重量:
编辑推荐
内容提要
软件安全问题也许是这个时代面临的为重要的技术挑战。Web应用程序让业务、社交等网络活动飞速发展,这同时也加剧了它们对软件安全的要求。我们急需建立一个强大的方法来编写和保护我们的互联网、Web应用程序和数据,并基于工程和科学的原则,用一致的、可重复的和定义的方法来测试软件安全问题。本书正是实现这个目标的重要一步,作为一本安全测试指南,详细讲解了Web应用测试的“4W1H”,即“什么是测试”、“为什么要测试”、“什么时间测试”、“测试哪里”以及“如何测试”。本书适合高等院校计算机相关专业师生阅读,也适合广大软件开发人员、测试人员以及所有对软件安全问题感兴趣的读者阅读。
目录
部分 项目概述及测试框架章 OWASP测试项目21.1 OWASP测试项目概述21.2 测试原则51.3 测试技术说明91.3.1 测试技术说明概述91.3.2 人工检查及复查91.3.3 软件威胁建模101.3.4 代码审查111.3.5 渗透测试121.3.6 需要平衡的测试方法131.3.7 关于Web应用扫描工具的注意事项141.3.8 关于静态源代码复查工具的注意事项151.3.9 安全测试需求推导151.3.10 功能和非功能测试需求181.3.11 安全测试集成于开发与测试工作流程211.3.12 开发人员的安全测试221.3.13 集成系统测试和操作测试241.3.14 安全测试数据分析和报告251.4 OWASP测试项目参考文献28第2章 OWASP测试架构302.1 OWASP测试架构概述302.1.1 阶段1:开发前312.1.2 阶段2:设计和定义阶段312.1.3 阶段3:开发阶段332.1.4 阶段4:部署中332.1.5 阶段5:维护和运行342.2 典型SDLC测试流程34第二部分 测试方法第3章 Web应用安全测试363.1 Web应用安全测试概述363.2 什么是OWASP测试方法?37第4章 信息收集测试394.1 搜索引擎信息搜集(OTG-INFO-001)394.1.1 信息搜集概述394.1.2 信息搜集测试目标404.1.3 信息搜集测试方法404.2 Web服务器指纹识别(OTG-INFO-002)424.2.1 Web服务器指纹识别概述424.2.2 Web服务器指纹识别测试目标424.2.3 Web服务器指纹识别测试方法434.3 审查Web服务器元文件信息泄露(OTG-INFO-003)484.3.1 审查Web服务器元文件信息泄露概述484.3.2 审查Web服务器元文件信息泄露测试目标484.3.3 审查Web服务器元文件信息泄露测试方法494.4 枚举Web服务器的应用(OTG-INFO-004)524.4.1 枚举Web服务器的应用概述524.4.2 枚举Web服务器的应用测试目标534.4.3 枚举Web服务器的应用测试方法534.5 注释和元数据信息泄露(OTG-INFO-005)584.5.1 注释和元数据信息泄露概述584.5.2 注释和元数据信息泄露测试目标584.5.3 注释和元数据信息泄露测试方法584.6 识别应用的入口(OTG-INFO-006)604.6.1 识别应用的入口概述604.6.2 识别应用的入口测试目标604.6.3 识别应用的入口测试方法604.7 映射应用程序的执行路径(OTG-INFO-007)624.7.1 映射应用程序的执行路径概述624.7.2 映射应用程序的执行路径测试目标634.7.3 映射应用程序的执行路径测试方法634.8 识别Web应用框架(OTG-INFO-008)644.8.1 识别Web应用框架概述644.8.2 识别Web应用框架测试目标654.8.3 识别Web应用框架测试方法654.9 识别Web应用程序(OTG-INFO-009)694.9.1 识别Web应用程序概述694.9.2 识别Web应用程序测试目标694.9.3 识别Web应用程序测试方法694.10 映射应用架构(OTG-INFO-010)734.10.1 映射应用架构概述734.10.2 映射应用架构测试方法734.10.3 防护Web服务器示例744.11 信息收集测试工具754.12 信息收集测试参考文献814.13 信息收集测试加固措施83第5章 配置管理测试875.1 网络和基础设施配置测试(OTG-CONFIG-001)875.1.1 网络和基础设施配置测试概述875.1.2 网络和基础设施配置测试方法885.2 应用平台配置测试(OTG-CONFIG-002)895.2.1 应用平台配置测试概述895.2.2 应用平台配置测试方法895.3 敏感信息文件扩展处理测试(OTG-CONFIG-003)945.3.1 敏感信息文件扩展处理测试概述945.3.2 敏感信息文件扩展处理测试方法955.4 对旧文件、备份和未被引用文件的敏感信息的审查(OTG-CONFIG-004)965.4.1 对旧文件、备份和未被引用文件的敏感信息的审查概述965.4.2 对旧文件、备份和未被引用文件的敏感信息产生的威胁975.4.3 对旧文件、备份和未被引用文件的敏感信息的测试方法985.5 枚举基础设施和应用程序管理界面(OTG-CONFIG-005)1015.5.1 枚举基础设施和应用程序管理界面概述1015.5.2 枚举基础设施和应用程序管理界面测试方法1025.6 HTTP方法测试(OTG-CONFIG-006)1035.6.1 HTTP方法测试概述1035.6.2 任意的HTTP方法1045.6.3 HTTP方法测试方法1045.7 HTTP强制安全传输测试(OTG-CONFIG-007)1085.7.1 HTTP强制安全传输测试概述1085.7.2 HTTP强制安全传输测试方法1085.8 RIA跨域策略测试(OTG-CONFIG-008)1095.8.1 RIA跨域策略测试概述1095.8.2 跨域策略测试方法1105.9 配置部署管理测试工具1115.10 配置部署管理测试参考文献1135.11 配置部署管理测试加固措施116第6章 身份管理测试1176.1 角色定义测试(OTG-IDENT-001)1176.1.1 角色定义测试概述1176.1.2 角色定义测试目标1176.1.3 角色定义测试方法1186.2 用户注册流程测试(OTG-IDENT-002)1186.2.1 用户注册流程测试概述1186.2.2 用户注册流程测试目标1186.2.3 用户注册流程测试方法1196.3 账户配置过程测试(OTG-IDENT-003)1206.3.1 账户配置过程测试概述1206.3.2 账户配置过程测试测试目标1206.3.3 账户配置过程测试测试方法1206.4 账户枚举和可猜测的用户账户测试(OTG-IDENT-004)1216.4.1 账户枚举和可猜测的用户账户测试概述1216.4.2 账户枚举和可猜测的用户账户测试方法1226.5 弱的或未实施的用户策略测试(OTG-IDENT-005)1266.5.1 弱的或未实施的用户策略测试概述1266.5.2 弱的或未实施的用户策略测试目标1266.5.3 弱的或未实施的用户策略测试方法1266.6 身份管理测试工具1266.7 身份管理测试参考文献1276.8 身份管理测试加固措施128第7章 认证测试1297.1 凭证在加密通道中的传输测试(OTG-AUTHN-001)1297.1.1 凭证在加密通道中的传输测试概述1297.1.2 凭证在加密通道中的传输测试方法1307.2 默认用户凭证测试(OTG-AUTHN-002)1337.2.1 默认用户凭证测试概述1337.2.2 默认用户凭证测试方法1337.3 弱锁定机制测试(OTG-AUTHN-003)1367.3.1 弱锁定机制测试概述1367.3.2 弱锁定机制测试目标1367.3.3 弱锁定机制测试方法1367.4 认证模式绕过测试(OTG-AUTHN-004)1387.4.1 认证模式绕过测试概述1387.4.2 认证模式绕过测试方法1387.5 记忆密码功能存在威胁测试(OTG-AUTHN-005)1427.5.1 记忆密码功能存在威胁测试概述1427.5.2 记忆密码功能存在威胁测试方法1437.6 浏览器缓存威胁测试(OTG-AUTHN-006)1437.6.1 浏览器缓存威胁测试概述1437.6.2 浏览器缓存威胁测试方法1447.7 弱密码策略测试(OTG-AUTHN-007)1457.7.1 弱密码策略测试概述1457.7.2 弱密码策略测试目标1457.7.3 弱密码策略测试方法1467.8 弱安全问答测试(OTG-AUTHN-008)1467.8.1 弱安全问答测试概述1467.8.2 弱安全问答测试方法1477.9 弱密码的更改或重设功能测试(OTG-AUTHN-009)1487.9.1 弱密码的更改或重设功能测试概述1487.9.2 弱密码的更改或重设功能测试目标1487.9.3 弱密码的更改或重设功能测试方法1487.10 在辅助信道中较弱认证测试(OTG-AUTHN-010)1507.10.1 在辅助信道中较弱认证测试概述1507.10.2 在辅助信道中较弱认证测试示例1517.10.3 在辅助信道中较弱认证测试方法1517.10.4
作者介绍
OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究,在业界具有一流的影响力和性。作为OWASP面向中国的区域分支,OWASP中国自2006年正式启动,目前已拥有来自互联网安全专业领域和政府、电信、金融、教育等相关领域的会员近5000个,形成了强大的专业技术实力和行业资源聚集能力,有力推动了共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术在中国的发展,成为了积极推动中国互联网安全技术创新、人才培养和行业发展的中坚力量。作为OWASP中国的运营中心,互联网安全研究中心(Security Zone,简称SecZone)是国内首个独立、开源的互联网安全研究机构。中心始终秉持引入、吸收、创新的发展宗旨,专注于互联网安全前沿技术和OWASP项目的深度研究,常年组织开展各类开源培训及沙龙活动,致力于通过对国内外技术、资源的整合、应用和创新,更好地服务业界同仁、服务行业发展,更有力地推动国内互联网安全技术的进步与升级。
序言
-
【封面】
相关推荐
— 没有更多了 —
以下为对购买帮助不大的评价