版權資訊
模糊測試:強制性安全漏洞發掘書 名: 模糊測試:強制性安全漏洞發掘
作 者:(美國)(MichaelSutton)斯頓(PedramAmini)
出版時間: 2009
ISBN: 9787111257554
開本: 16
定價: 59.00 元
作者簡介
MichaelSutton是SPIDynamics公司的安全布道師。他還是Web套用安全組織(WASC)的成員,負責其中的Web套用安全統計項目。
AdamGreene目前擔任紐約某大型金融新聞公司的工程師。此前他曾經是iDefense公司的工程師,這是位於Reston,VA的一家智慧型技術公司。AdamGreene在計算機安全領域的主要研究興趣是可靠挖掘方法,模糊測試和基於UNIX系統的審核和挖掘開發。
PedramAmini是TippingPoint公司的安全研究和產品安全評估組的項目領導。此前他曾經是iDefence實驗室的主任助手,同時也是該實驗室的創建者之一。他的主要興趣是研究逆向工程——開發自動支持工具、外掛程式和腳本。
這三位作者經常出席BlackHat安全大會井在其中做主題報告。
譯者簡介:
黃隴,男,博士,中國人民解放軍總參陸航研究所高級工程師,北京航空航天大學軟體工程研究所出站博士後,在國內重要期刊和國際會議上發表論文20餘篇,曾獲得全軍科技進步獎,長期從事軟體測試理論、方法和技術工具的研究開發,出版多部該領域的譯著。
於莉莉,女,中國人民解放軍第二炮兵軟體測試中心資深軟體測評工程師,北京航空航天大學軟體工程研究所博士研究生,自2005年起先後負責十餘項大型分散式軍事系統軟體測試項目,特別是在安全性測試領域積累了豐富的研究和工程經驗。
李虎,男,博士,北京航空航天大學計算機學院講師,北航軟體測評實驗室測評工程部負責人,近年來先後發表論文20餘篇,其中大多被EI等著名檢索機構收錄,多個著名計算機科學類雜誌的審稿人,主持包括國家自然科學基金在內的多項國家級科研項目,曾獲國防科學技術三等獎,申請國家技術發明專利2件,獲得發明專利1件,在軟體工程,軟體測試和質量保證領域出版專譯著十餘部。
編輯推薦
掌握揭露安全性缺陷的最強大技術
模糊測試現在已經發展成為一種最有效的軟體安全性測試方法。模糊測試是指將一個隨機的數據源作為程式的輸入,然後系統地找出這些輸入所引起的程式失效。著名的模糊測試專家將告訴你如何搶在別人之前使用模糊測試來揭示軟體的弱點。
《模糊測試——強制性安全漏洞發掘》是第一部也是唯一一部自始至終討論模糊測試的專著,將以往非正式的技巧轉變為訓練有素的最佳實踐,進而將其總結為一種技術。作者首先回顧了模糊測試的工作原理並勾勒出模糊測試相比其他安全性測試方法的關鍵優勢。然後,介紹了在查找網路協定,檔案格式及Web套用安全漏洞中的先進的模糊測試,演示了自動模糊工具的用法,並給出多個說明模糊測試強大效力的歷史案例。
《模糊測試——強制性安全漏洞發掘》主要內容包括:
為什麼模糊測試能夠簡化測試設計並捕捉利用其他方法捕捉不到的軟體缺陷。
模糊測試過程:從識別輸入到評估“可利用性”。
理解實施有效模糊測試所要滿足的需求。
比較基於變異的和基於生成的模糊器。
在模糊測試中套用並初始化環境變數和自變數。
掌握記憶體數據的模糊測試技術。
構建定製的模糊測試框架和工具。
實現智慧型的故障檢測。
攻擊者早已經開始使用模糊測試技術。當然,你也應該使用。不論你是一位開發者、一位安全工程師還是測試人員或QA專業人員,本書都將教會你如何構建安全的軟體系統。
目錄
譯者序
譯者簡介
序言
前言
致謝
第一部分背景
第1章安全鬻洞發掘方法學
1.1白盒測試
1.1.1原始碼評審
1.1.2工具和自動化
1.1.3優點和缺點
1.2黑盒測試
1.2.1人工測試
1.2.2自動測試或模糊測試
1.2.3優點和缺點
1.3灰盒測試
1.3.1二進制審核
1.3.2自動化的:進制審核
1.3.3優點和缺點
1.4小結
第2章什麼是模糊測試
2.1模糊測試的定義
2.2模糊測試的歷史
2.3模糊測試階段
2.4模糊測試的局限性和期鍶
2.4.1訪問控制缺陷
2.4.2設計邏輯不良
2.4.3者後門
2.4.4記憶體破壞
2.4.5多階段安全漏洞
2.5小結
第3章模糊測試方法和模糊器類型
3.1模糊測試方法
3.1.1預先生成測試用例
3.1.2隨機方法
3.1.3協定變異人工測試
3.1.4變異或強制性測試
3.1.5自動協定生成測試
3.2模糊器類型
3.2.1本地模糊器
3.2.2遠程模糊器
3.2.3記憶體模糊器
3.2.4模糊器框架
3.3小結
第48數據表示和分析
4.1什麼是協定
42協定域
43簡單文本協定
4.4二進制協定
4.5網路協定
4.6檔案格式
4.7常見的協定元素
4.7.1名字一值對
4.7.2塊標識符
4.7.3塊長度
4.7.4經驗和
4.8小結
第5章有效模糊測試的需求
5.1可重現性和文檔記錄
5.2可重用性
5.3過程狀態和過程深度
5.4跟蹤、代碼覆蓋和度量
5.5錯誤檢測
5.6資源約束
5.7小結
第二部分目標和自動化
第6章自動化溯試和翻試敷據生成
第7章環境變數和參敦的模糊測試
第8章環境變數和參數的模糊測試:自動化
第9章Web應用程式和伺服器模糊測試
第10章Web應用程式和伺服器的模糊測試:自動化
第1l章檔案格式模糊測試
第12章檔案格式模糊測試:UNIX平台上的自動化測試
第13章檔案格式模糊溯試:Windows平台上的自動化測試
第14章網路協定模糊測試
第15章網路協定模糊測試:UNIX平台上的自動化測試
第16章網路協定模糊測試:Windows
平台上的自動化測試
第17章Web調覽器模糊測試
第18章Web瀏覽器的模糊溯試:自動化
第19章記憶體敦據的模糊測試
第20章記憶體數據的模糊測試:自動化
第三部分高級模糊測試技術
第21章模糊測試框架
第22章自動化協定解析
第23章模糊器跟蹤
第24章智慧型故障檢測
第四部分展望
第25章汲取的教訓
第26章展望
……
