內容推薦
本書是討論模糊測試的專著,主要內容包括:模糊測試的工作原理,模糊測試相比其他安全性測試方法的關鍵優勢,模糊測試在查找網路協定,檔案格式及Web套用安全漏洞中的技術現狀等。演示了自動模糊工具的用法,並給出多個說明模糊測試強大效力的歷史案例。本書可作為開發者,安全工程師、測試人員以及QA專業人員的參考用書。
作者簡介
Michael Sutton是SPI Dynamics公司的安全布道師。他還是Web套用安全組織(WASC)的成員,負責其中的Web套用安全統計項目。目錄
第1章 安全鬻洞發掘方法學1.1 白盒測試
1.1.1 原始碼評審
1.1.2 工具和自動化
1.1.3 優點和缺點
1.2 黑盒測試
1.2.1 人工測試
1.2.2 自動測試或模糊測試
1.2.3 優點和缺點
第一部分 背景
第1章 安全鬻洞發掘方法學
如果詢問任何一位有成就的安全領域的研究者如何發現漏洞,很可能會得到一大堆答案。為什麼?因為可用於安全性測試的方法太多,每種方法都有自己的優點和缺點。沒有一種方法是絕對正確的,也沒有一種方法能夠揭示一個給定目標下所有可能的漏洞。在較高的層次上,有三種主要的方法用來發現安全漏洞:白盒測試、黑盒測試和灰盒測試。這些方法之間的差別是由測試者可得到的資源決定的。白盒測試是一個極端,它需要對所有資源進行充分地訪問。這包括訪問原始碼、設計規約,甚至有可能還要訪問程式設計師本人。黑盒測試是另一個極端,它幾乎不需要知道軟體的內部細節,很大程度上帶有盲目測試的味道。遠程Web套用的Pen測試是黑盒測試的一個好例子,它不需要訪問程式源碼。位於兩個極端方法之間的是灰盒測試,它的定義因詢問的人不同而不同。就我們的套用目的而言,灰盒測試需要訪問編譯後得到的二進制代碼,或許還要訪問一些基本的文檔。
本章將考察漏洞發掘的各種不同的高層和低層方法,起點是白盒測試,你以前可能聽說過這種方法也被稱為玻璃、透明或半透明測試。之後我們再定義黑盒測試和灰盒測試,模糊測試可能就屬於後兩者。我們將闡述每種方法的利弊,這些方法的利弊將成為本書後面介紹模糊測試時所需要的背景知識。模糊測試只是漏洞發掘的一種方法,了解其他可選的實用方法也是相當重要的。
