《安全測試指南(第4版)》是2016年出版的圖書,作者是(美國)OWASP基金會。
基本介紹
基本信息,內容簡介,圖書目錄,
基本信息
作 譯 者:(美國)OWASP基金會
出版時間:2016-07 千 字 數:739
版 次:01-01 頁 數:484
開 本:16開
裝 幀:
I S B N :9787121292088
內容簡介
軟體安全問題也許是這個時代面臨的最為重要的技術挑戰。Web應用程式讓業務、社交等網路活動飛速發展,這同時也加劇了它們對軟體安全的要求。我們急需建立一個強大的方法來編寫和保護我們的網際網路、Web應用程式和數據,並基於工程和科學的原則,用一致的、可重複的和定義的方法來測試軟體安全問題。本書正是實現這個目標的重要一步,作為一本安全測試指南,詳細講解了Web套用測試的“4W1H”,即“什麼是測試”、“為什麼要測試”、“什麼時間測試”、“測試哪裡”以及“如何測試”。本書適合高等院校計算機相關專業師生閱讀,也適合廣大軟體開發人員、測試人員以及所有對軟體安全問題感興趣的讀者閱讀。
圖書目錄
第一部分 項目概述及測試框架
第1章 OWASP測試項目 2
1.1 OWASP測試項目概述 2
1.2 測試原則 5
1.3 測試技術說明 9
1.3.1 測試技術說明概述 9
1.3.2 人工檢查及複查 9
1.3.3 軟體威脅建模 10
1.3.4 代碼審查 11
1.3.5 滲透測試 12
1.3.6 需要平衡的測試方法 13
1.3.7 關於Web套用掃描工具的注意事項 14
1.3.8 關於靜態原始碼複查工具的注意事項 15
1.3.9 安全測試需求推導 15
1.3.10 功能和非功能測試需求 18
1.3.11 安全測試集成於開發與測試工作流程 21
1.3.12 開發人員的安全測試 22
1.3.13 集成系統測試和操作測試 24
1.3.14 安全測試數據分析和報告 25
1.4 OWASP測試項目參考文獻 28
第2章 OWASP測試架構 30
2.1 OWASP測試架構概述 30
2.1.1 階段1:開發前 31
2.1.2 階段2:設計和定義階段 31
2.1.3 階段3:開發階段 33
2.1.4 階段4:部署中 33
2.1.5 階段5:維護和運行 34
2.2 典型SDLC測試流程 34
第二部分 測試方法
第3章 Web套用安全測試 36
3.1 Web套用安全測試概述 36
3.2 什麼是OWASP測試方法? 37
第4章 信息收集測試 39
4.1 搜尋引擎信息蒐集(OTG-INFO-001) 39
4.1.1 信息蒐集概述 39
4.1.2 信息蒐集測試目標 40
4.1.3 信息蒐集測試方法 40
4.2 Web伺服器指紋識別(OTG-INFO-002) 42
4.2.1 Web伺服器指紋識別概述 42
4.2.2 Web伺服器指紋識別測試目標 42
4.2.3 Web伺服器指紋識別測試方法 43
4.3 審查Web伺服器元檔案信息泄露(OTG-INFO-003) 48
4.3.1 審查Web伺服器元檔案信息泄露概述 48
4.3.2 審查Web伺服器元檔案信息泄露測試目標 48
4.3.3 審查Web伺服器元檔案信息泄露測試方法 49
4.4 枚舉Web伺服器的套用(OTG-INFO-004) 52
4.4.1 枚舉Web伺服器的套用概述 52
4.4.2 枚舉Web伺服器的套用測試目標 53
4.4.3 枚舉Web伺服器的套用測試方法 53
4.5 注釋和元數據信息泄露(OTG-INFO-005) 58
4.5.1 注釋和元數據信息泄露概述 58
4.5.2 注釋和元數據信息泄露測試目標 58
4.5.3 注釋和元數據信息泄露測試方法 58
4.6 識別套用的入口(OTG-INFO-006) 60
4.6.1 識別套用的入口概述 60
4.6.2 識別套用的入口測試目標 60
4.6.3 識別套用的入口測試方法 60
4.7 映射應用程式的執行路徑(OTG-INFO-007) 62
4.7.1 映射應用程式的執行路徑概述 62
4.7.2 映射應用程式的執行路徑測試目標 63
4.7.3 映射應用程式的執行路徑測試方法 63
4.8 識別Web套用框架(OTG-INFO-008) 64
4.8.1 識別Web套用框架概述 64
4.8.2 識別Web套用框架測試目標 65
4.8.3 識別Web套用框架測試方法 65
4.9 識別Web應用程式(OTG-INFO-009) 69
4.9.1 識別Web應用程式概述 69
4.9.2 識別Web應用程式測試目標 69
4.9.3 識別Web應用程式測試方法 69
4.10 映射套用架構(OTG-INFO-010) 73
4.10.1 映射套用架構概述 73
4.10.2 映射套用架構測試方法 73
4.10.3 防護Web伺服器示例 74
4.11 信息收集測試工具 75
4.12 信息收集測試參考文獻 81
4.13 信息收集測試加固措施 83
第5章 配置管理測試 87
5.1 網路和基礎設施配置測試(OTG-CONFIG-001) 87
5.1.1 網路和基礎設施配置測試概述 87
5.1.2 網路和基礎設施配置測試方法 88
5.2 套用平台配置測試(OTG-CONFIG-002) 89
5.2.1 套用平台配置測試概述 89
5.2.2 套用平台配置測試方法 89
5.3 敏感信息檔案擴展處理測試(OTG-CONFIG-003) 94
5.3.1 敏感信息檔案擴展處理測試概述 94
5.3.2 敏感信息檔案擴展處理測試方法 95
5.4 對舊檔案、備份和未被引用檔案的敏感信息的審查(OTG-CONFIG-004) 96
5.4.1 對舊檔案、備份和未被引用檔案的敏感信息的審查概述 96
5.4.2 對舊檔案、備份和未被引用檔案的敏感信息產生的威脅 97
5.4.3 對舊檔案、備份和未被引用檔案的敏感信息的測試方法 98
5.5 枚舉基礎設施和應用程式管理界面(OTG-CONFIG-005) 101
5.5.1 枚舉基礎設施和應用程式管理界面概述 101
5.5.2 枚舉基礎設施和應用程式管理界面測試方法 102
5.6 HTTP方法測試(OTG-CONFIG-006) 103
5.6.1 HTTP方法測試概述 103
5.6.2 任意的HTTP方法 104
5.6.3 HTTP方法測試方法 104
5.7 HTTP強制安全傳輸測試(OTG-CONFIG-007) 108
5.7.1 HTTP強制安全傳輸測試概述 108
5.7.2 HTTP強制安全傳輸測試方法 108
5.8 RIA跨域策略測試(OTG-CONFIG-008) 109
5.8.1 RIA跨域策略測試概述 109
5.8.2 跨域策略測試方法 110
5.9 配置部署管理測試工具 111
5.10 配置部署管理測試參考文獻 113
5.11 配置部署管理測試加固措施 116
第6章 身份管理測試 117
6.1 角色定義測試(OTG-IDENT-001) 117
6.1.1 角色定義測試概述 117
6.1.2 角色定義測試目標 117
6.1.3 角色定義測試方法 118
6.2 用戶註冊流程測試(OTG-IDENT-002) 118
6.2.1 用戶註冊流程測試概述 118
6.2.2 用戶註冊流程測試目標 118
6.2.3 用戶註冊流程測試方法 119
6.3 賬戶配置過程測試(OTG-IDENT-003) 120
6.3.1 賬戶配置過程測試概述 120
6.3.2 賬戶配置過程測試測試目標 120
6.3.3 賬戶配置過程測試測試方法 120
6.4 賬戶枚舉和可猜測的用戶賬戶測試(OTG-IDENT-004) 121
6.4.1 賬戶枚舉和可猜測的用戶賬戶測試概述 121
6.4.2 賬戶枚舉和可猜測的用戶賬戶測試方法 122
6.5 弱的或未實施的用戶策略測試(OTG-IDENT-005) 126
6.5.1 弱的或未實施的用戶策略測試概述 126
6.5.2 弱的或未實施的用戶策略測試目標 126
6.5.3 弱的或未實施的用戶策略測試方法 126
6.6 身份管理測試工具 126
6.7 身份管理測試參考文獻 127
6.8 身份管理測試加固措施 128
第7章 認證測試 129
7.1 憑證在加密通道中的傳輸測試(OTG-AUTHN-001) 129
7.1.1 憑證在加密通道中的傳輸測試概述 129
7.1.2 憑證在加密通道中的傳輸測試方法 130
7.2 默認用戶憑證測試(OTG-AUTHN-002) 133
7.2.1 默認用戶憑證測試概述 133
7.2.2 默認用戶憑證測試方法 133
7.3 弱鎖定機制測試(OTG-AUTHN-003) 136
7.3.1 弱鎖定機制測試概述 136
7.3.2 弱鎖定機制測試目標 136
7.3.3 弱鎖定機制測試方法 136
7.4 認證模式繞過測試(OTG-AUTHN-004) 138
7.4.1 認證模式繞過測試概述 138
7.4.2 認證模式繞過測試方法 138
7.5 記憶密碼功能存在威脅測試(OTG-AUTHN-005) 142
7.5.1 記憶密碼功能存在威脅測試概述 142
7.5.2 記憶密碼功能存在威脅測試方法 143
7.6 瀏覽器快取威脅測試(OTG-AUTHN-006) 143
7.6.1 瀏覽器快取威脅測試概述 143
7.6.2 瀏覽器快取威脅測試方法 144
7.7 弱密碼策略測試(OTG-AUTHN-007) 145
7.7.1 弱密碼策略測試概述 145
7.7.2 弱密碼策略測試目標 145
7.7.3 弱密碼策略測試方法 146
7.8 弱安全問答測試(OTG-AUTHN-008) 146
7.8.1 弱安全問答測試概述 146
7.8.2 弱安全問答測試方法 147
7.9 弱密碼的更改或重設功能測試(OTG-AUTHN-009) 148
7.9.1 弱密碼的更改或重設功能測試概述 148
7.9.2 弱密碼的更改或重設功能測試目標 148
7.9.3 弱密碼的更改或重設功能測試方法 148
7.10 在輔助信道中較弱認證測試(OTG-AUTHN-010) 150
7.10.1 在輔助信道中較弱認證測試概述 150
7.10.2 在輔助信道中較弱認證測試示例 151
7.10.3 在輔助信道中較弱認證測試方法 151
7.10.4 關聯的測試用例 152
7.11 認證測試工具 152
7.12 認證測試參考文獻 153
7.13 認證測試加固措施 155
第8章 授權測試 156
8.1 目錄遍歷/檔案包含測試(OTG-AUTHZ-001) 156
8.1.1 目錄遍歷/檔案包含測試概述 156
8.1.2 目錄遍歷/檔案包含測試方法 157
8.2 繞過授權模式測試(OTG-AUTHZ-002) 160
8.2.1 繞過授權模式測試概述 160
8.2.2 繞過授權模式測試方法 161
8.3 許可權提升測試(OTG-AUTHZ-003) 161
8.3.1 許可權提升測試概述 161
8.3.2 許可權提升測試方法 162
8.4 不安全對象引用測試(OTG-AUTHZ-004) 163
8.4.1 不安全對象引用測試概述 163
8.4.2 不安全對象引用測試方法 163
8.5 授權測試工具 165
8.6 授權測試參考文獻 165
8.7 授權測試加固措施 166
第9章 會話管理測試 167
9.1 會話管理架構繞過測試(OTG-SESS-001) 167
9.1.1 會話管理架構繞過測試概述 167
9.1.2 會話管理架構繞過測試方法 168
9.2 Cookie屬性測試(OTG-SESS-002) 173
9.2.1 Cookie屬性測試概述 173
9.2.2 Cookie屬性測試方法 175
9.3 會話固化測試(OTG-SESS-003) 176
9.3.1 會話固化測試概述 176
9.3.2 會話固化測試方法 176
9.4 會話變數泄露測試(OTG-SESS-004) 178
9.4.1 會話變數泄露測試概述 178
9.4.2 會話變數泄露測試方法 178
9.5 跨站偽造請求(CSRF)測試(OTG-SESS-005) 181
9.5.1 跨站偽造請求(CSRF)測試概述 181
9.5.2 跨站偽造請求(CSRF)測試方法 184
9.6 會話管理測試工具 185
9.7 會話管理測試參考文獻 186
9.8 會話管理測試加固措施 188
第10章 輸入驗證測試 190
10.1 反射型跨站腳本測試(OTG-INPVAL-001) 190
10.1.1 反射型跨站腳本測試概述 190
10.1.2 反射型跨站腳本測試方法 191
10.2 存儲型跨站腳本測試(OTG-INPVAL-002) 195
10.2.1 存儲型跨站腳本測試概述 195
10.2.2 存儲型跨站腳本測試方法 196
10.3 HTTP方法篡改測試(OTG-INPVAL-003) 200
10.3.1 HTTP方法篡改測試概述 200
10.3.2 方法篡改測試方法 201
10.4 HTTP參數污染測試(OTG-INPVAL-004) 203
10.4.1 參數污染測試概述 203
10.4.2 參數污染測試方法 205
10.5 SQL注入測試(OTG-INPVAL-005) 207
10.5.1 SQL注入測試概述 207
10.5.2 注入測試方法 208
10.6 LDAP測試(OTG-INPVAL-006) 245
10.6.1 LDAP測試概述 245
10.6.2 LDAP測試方法 246
10.7 ORM注入測試(OTG-INPVAL-007) 247
10.7.1 ORM注入測試概述 247
10.7.2 ORM注入測試方法 247
10.8 XML注入測試(OTG-INPVAL-008) 248
10.8.1 XML注入測試概述 248
10.8.2 XML注入測試方法 248
10.8.3 發現漏洞 250
10.9 SSI注入測試(OTG-INPVAL-009) 255
10.9.1 SSI注入測試概述 255
10.9.2 SSI注入測試方法 256
10.10 XPath注入測試(OTG-INPVAL-010) 257
10.10.1 XPath注入測試概述 257
10.10.2 XPath注入測試方法 258
10.11 IMAP/SMTP注入測試(OTG-INPVAL-011) 259
10.11.1 IMAP/SMTP注入測試概述 259
10.11.2 IMAP/SMTP注入測試方法 260
10.12 代碼注入測試(OTG-INPVAL-012) 263
10.12.1 代碼注入測試概述 263
10.12.2 代碼注入測試方法 264
10.13 命令注入測試(OTG-INPVAL-013) 266
10.13.1 命令注入測試概述 266
10.13.2 命令注入測試方法 267
10.14 緩衝區溢出測試(OTG-INPVAL-014) 269
10.14.1 緩衝區溢出測試概述 269
10.14.2 緩衝區溢出測試方法 269
10.15 潛伏式漏洞測試(OTG-INPVAL-015) 278
10.15.1 潛伏式漏洞測試概述 278
10.15.2 潛伏式漏洞測試方法 279
10.16 HTTP拆分/走私測試(OTG-INPVAL-016) 281
10.16.1 HTTP拆分/走私測試概述 281
10.16.2 HTTP拆分/走私測試方法 282
10.17 輸入驗證測試工具 285
10.18 輸入驗證測試參考文獻 290
10.19 輸入驗證測試加固措施 297
第11章 錯誤處理測試 300
11.1 報錯信息測試(OTG-ERR-001) 300
11.1.1 報錯信息測試概述 300
11.1.2 報錯信息測試方法 302
11.2 堆疊軌跡測試(OTG-ERR-002) 305
11.2.1 堆疊軌跡測試概述 305
11.2.2 堆疊軌跡測試方法 306
11.3 錯誤處理測試工具 306
11.4 錯誤處理測試參考文獻 307
11.5 錯誤處理測試加固措施 307
?
第12章 加密體系脆弱性測試 310
12.1 SSL/TLS弱加密、傳輸層協定缺陷測試(OTG-CRYPST-001) 310
12.1.1 SSL/TLS弱加密、傳輸層協定缺陷測試概述 310
12.1.2 SSL/TLS弱加密、傳輸層協定缺陷測試方法 313
12.2 Padding Oracle攻擊測試(OTG-CRYPST-002) 342
12.2.1 Padding Oracle攻擊測試概述 342
12.2.2 Padding Oracle攻擊測試方法 343
12.3 通過未加密信道傳送敏感數據測試(OTG-CRYPST-003) 344
12.3.1 通過未加密信道傳送敏感數據測試概述 344
12.3.2 通過未加密信道傳送敏感數據測試方法 345
12.4 加密體系脆弱性測試工具 347
12.5 加密體系脆弱性參考文獻 348
12.6 加密體系脆弱性加固措施(無) 351
第13章 業務邏輯測試 352
13.1 業務邏輯數據驗證測試(OTG-BUSLOGIC-001) 354
13.1.1 業務邏輯數據驗證測試概述 354
13.1.2 業務邏輯數據驗證測試示例 355
13.1.3 業務邏輯數據驗證測試方法 355
13.2 偽造請求的測試(OTG-BUSLOGIC-002) 356
13.2.1 偽造請求的測試概述 356
13.2.2 偽造請求的測試示例 357
13.2.3 偽造請求的測試方法 357
13.3 完整性檢查測試(OTG-BUSLOGIC-003) 358
13.3.1 完整性檢查測試概述 358
13.3.2 完整性檢查測試示例 359
13.3.3 完整性檢查測試方法 359
13.4 處理耗時測試(OTG-BUSLOGIC-004) 360
13.4.1 處理耗時測試概述 360
13.4.2 處理耗時測試示例 361
13.4.3 處理耗時測試方法 361
13.5 功能使用次數限制(OTG-BUSLOGIC-005) 361
13.5.1 功能使用次數限制概述 361
13.5.2 功能使用次數限制示例 362
13.5.3 功能使用次數限制測試方法 362
?
13.6 工作流程逃逸的測試(OTG-BUSLOGIC-006) 362
13.6.1 工作流程逃逸的測試概述 362
13.6.2 工作流程逃逸的測試示例 363
13.6.3 工作流程逃逸的測試方法 363
13.7 防禦應用程式濫用測試(OTG-BUSLOGIC-007) 364
13.7.1 防禦應用程式濫用測試概述 364
13.7.2 防禦應用程式濫用測試示例 364
13.7.3 防禦應用程式濫用測試方法 365
13.8 意外檔案類型上傳測試(OTG-BUSLOGIC-008) 366
13.8.1 意外檔案類型上傳測試概述 366
13.8.2 意外檔案類型上傳測試示例 367
13.8.3 意外檔案類型上傳測試方法 367
13.9 惡意檔案上傳測試(OTG-BUSLOGIC-009) 367
13.9.1 惡意檔案上傳測試概述 367
13.9.2 惡意檔案上傳測試示例 368
13.9.3 惡意檔案上傳測試方法 368
13.10 業務邏輯測試工具 369
13.11 業務邏輯測試參考文獻 371
13.12 業務邏輯測試加固措施 376
第14章 客戶端測試 378
14.1 基於DOM的跨站腳本測試(OTG-CLIENT-001) 378
14.1.1 基於DOM的跨站腳本測試概述 378
14.1.2 基於DOM的跨站腳本的測試方法 378
14.2 JavaScript執行測試(OTG-CLIENT-002) 381
14.2.1 JavaScript執行測試概述 381
14.2.2 JavaScript執行測試方法 381
14.3 HTML注入測試(OTG-CLIENT-003) 382
14.3.1 HTML注入測試概述 382
14.3.2 HTML注入測試方法 382
14.4 客戶端URL重定向測試(OTG-CLIENT-004) 384
14.4.1 客戶端URL重定向測試概述 384
14.4.2 客戶端URL重定向測試方法 384
14.5 CSS注入測試(OTG-CLIENT-005) 385
14.5.1 CSS注入測試概述 385
14.5.2 CSS注入測試方法 386
14.6 客戶端資源處理測試(OTG-CLIENT-006) 388
14.6.1 客戶端資源處理測試概述 388
14.6.2 客戶端資源處理測試方法 388
14.7 跨源資源共享測試(OTG-CLIENT-007) 390
14.7.1 跨源資源共享測試概述 390
14.7.2 跨源資源共享測試方法 391
14.8 跨站Flash測試(OTG-CLIENT-008) 395
14.8.1 跨站Flash測試概述 395
14.8.2 跨站Flash測試方法 395
14.9 點擊劫持測試(OTG-CLIENT-009) 401
14.9.1 點擊劫持測試概述 401
14.9.2 點擊劫持測試方法 402
14.10 WebSockets測試(OTG-CLIENT-010) 411
14.10.1 WebSockets測試概述 411
14.10.2 WebSockets測試方法 412
14.11 Web訊息測試(OTG-CLIENT-011) 414
14.11.1 Web訊息測試概述 414
14.11.2 Web訊息測試方法 415
14.12 本地存儲測試(OTG-CLIENT-012) 417
14.12.1 本地存儲測試概述 417
14.12.2 本地存儲測試方法 417
14.13 客戶端測試工具 419
14.14 客戶端測試參考文獻 421
14.15 客戶端測試加固措施 425
第三部分 測試報告
第15章 報告 428
附錄A 測試工具 430
附錄B 推薦讀物 439
附錄C 模糊測試向量 444
附錄D 編碼注入 452
附錄E 測試項列表 455