書名:模糊測試——強制性安全漏洞發掘
定價:59.00元
作者:(美)斯頓
出版社:機械工業出版社
出版日期:2009-01-01
ISBN:9787111257554
頁碼:363
版次:1
開本:16開
內容簡介
掌握揭露安全性缺陷的最強大技術
模糊測試現在已經發展成為一種最有效的軟體安全性測試方法。模糊測試是指將一個隨機的數據源作為程式的輸入,然後系統地找出這些輸入所引起的程式失效。著名的模糊測試專家將告訴你如何搶在別人之前使用模糊測試來揭示軟體的弱點。
本書是第一部也是唯一一部自始至終討論模糊測試的專著,將以往非正式的技巧轉變為訓練有素的最佳實踐,進而將其總結為一種技術。作者首先回顧了模糊測試的工作原理並勾勒出模糊測試相比其他安全性測試方法的關鍵優勢。然後,介紹了在查找網路協定,檔案格式及Web套用安全漏洞中的先進的模糊測試,演示了自動模糊工具的用法,並給出多個說明模糊測試強大效力的歷史案例。
本書主要內容包括:
為什麼模糊測試能夠簡化測試設計並捕捉利用其他方法捕捉不到的軟體缺陷。
模糊測試過程:從識別輸入到評估“可利用性”。
理解實施有效模糊測試所要滿足的需求。
比較基於變異的和基於生成的模糊器。
在模糊測試中套用並初始化環境變數和自變數。
掌握記憶體數據的模糊測試技術。
構建定製的模糊測試框架和工具。
實現智慧型的故障檢測。
攻擊者早已經開始使用模糊測試技術。當然,你也應該使用。不論你是一位開發者、一位安全工程師還是測試人員或QA專業人員,本書都將教會你如何構建安全的軟體系統。
目錄
譯者序
譯者簡介
序言
前言
致謝
第一部分 背景
第1章 安全鬻洞發掘方法學
1.1 白盒測試
1.1.1 源代碼評審
1.1.2 工具和自動化
1.1.3 優點和缺點
1.2 黑盒測試
1.2.1 人工測試
1.2.2 自動測試或模糊測試
1.2.3 優點和缺點
1.3 灰盒測試
1.3.1 二進制審核
1.3.2 自動化的:進制審核
1.3.3 優點和缺點
1.4 小結
第2章 什麼是模糊測試
2.1 模糊測試的定義
2.2 模糊測試的歷史
2.3 模糊測試階段
2.4 模糊測試的局限性和期鍶
2.4.1 訪問控制缺陷
2.4.2 設計邏輯不良
2.4.3者後門
2.4.4 記憶體破壞
2.4.5 多階段安全漏洞
2.5 小結
第3章 模糊測試方法和模糊器類型
3.1 模糊測試方法
3.1.1 預先生成測試用例
3.1.2 隨機方法
3.1.3 協定變異人工測試
3.1.4 變異或強制性測試
3.1.5 自動協定生成測試
3.2 模糊器類型
3.2.1 本地模糊器
3.2.2 遠程模糊器
3.2.3 記憶體模糊器
3.2.4 模糊器框架
3.3小結
第4章 數據表示和分析
4.1 什麼是協定
4.2 協定域
4.3 簡單文本協定
4.4 二進制協定
4.5 網路協定
4.6 檔案格式
4.7 常見的協定元素
4.7.1 名字一值對
4.7.2 塊標識符
4.7.3 塊長度
4.7.4 經驗和
4.8 小結
第5章 有效模糊測試的需求
5.1 可重現性和文檔記錄
5.2 可重用性
5.3 過程狀態和過程深度
5.4 跟蹤、代碼覆蓋和度量
5.5 錯誤檢測
5.6 資源約束
5.7 小結
第二部分 目標和自動化
第6章 自動化溯試和翻試敷據生成
第7章 環境變數和參敦的模糊測試
第8章 環境變數和參數的模糊測試:自動化
第9章 Web應用程式和伺服器模糊測試
第10章 Web應用程式和伺服器的模糊測試:自動化
第1l章 檔案格式模糊測試
第12章 檔案格式模糊測試:UNIX平台上的自動化測試
第13章 檔案格式模糊溯試:Windows平台上的自動化測試
第14章 網路協定模糊測試
第15章 網路協定模糊測試:UNIX平台上的自動化測試
第16章 網路協定模糊測試:Windows平台上的自動化測試
第17章 Web調覽器模糊測試
第18章 Web瀏覽器的模糊溯試:自動化
第19章 記憶體敦據的模糊測試
第20章 記憶體數據的模糊測試:自動化
第三部分 高級模糊測試技術
第21章 模糊測試框架
第22章 自動化協定解析
第23章 模糊器跟蹤
第24章 智慧型故障檢測
第四部分 展望
第25章 汲取的教訓
第26章 展望