編輯推薦
軟件安全一直在快速地發展,未來我們將面臨今天所不知道的危險攻擊,本書主要討論以攻擊者的角度、采用攻擊者的方法進行安全測試的步驟,以促進大家的測試工作,從而開發出更好的軟件。
本書共20章,前三章介紹了此書的背景信息,第4、5章解釋了網絡流量是如何被操控的,第8、9章闡述了攻擊者是如何通過直接操控內存來執行任意代碼的,第18、19章闡述了各種各樣的再利用攻擊。*後的一繫列工具和一份安全測試用例列表中包含了一些適用於初學者的基本測試用例。書中絕大部分章節在開始處都有一個高度概括的概要,在結尾處會總結一些精煉的測試技巧。有些章節也包含了一些走查,你可以在自己的計算機上嘗試這些步驟。
本書適用於軟件測試人員、軟件開發人員、學生、滲透測試人員。
內容簡介
這是一本針對安全測試的書籍,同時也是一本十分適合信息安全研究人員的優秀參考書。本書共20章,其中前3章討論了安全測試的基礎,包括如何從攻擊者的角度去思考測試方法,以及如何進行威脅建模和入口點查找。第4章至第19章則通過詳細的示例與代碼,分別深入地闡述了網絡流量和內存數據的操控方法,包括緩衝區溢出、格式化字符串、HTML腳本、XML、規範化、權限、拒絕服務、托管代碼、SQL注入和ActiveX再利用等安全漏洞追蹤方法,以及在二進制代碼條件下查找安全漏洞的逆向工程技術。第20章論述了合理報告安全漏洞的程序,並提出了一個負責的安全漏洞公開流程。後,本書還提供了一個適於初學者的測試用例列表。