最 低 价:¥38.40
定 价:¥59.00
作 者:(美)Michael Sutton (美)Adam Greene (美)Pedram Amini 黄陇 于莉莉 李虎 著
出 版 社:机械工业出版社
出版时间:2009-01
I S B N:711125755
| 姓名:斯顿著 作者简介: 作品:《模糊测试:强制性安全漏洞发掘》 姓名:(美)Michael Sutton著 作者简介: 作品:《模糊测试:强制性安全漏洞发掘》 姓名:(美)斯顿(Sutton M) ;黄陇 于莉莉 李虎著 作者简介: 作品:《模糊测试:强制性安全漏洞发掘》 姓名:(美)Michael Sutton (美)Adam Greene (美)Pedram Amini 黄陇 于莉莉 李虎著 作者简介: 作品:《模糊测试:强制性安全漏洞发掘》 |
| 第一部分 背景 第1章 安全鬻洞发掘方法学 如果询问任何一位有成就的安全领域的研究者如何发现漏洞,很可能会得到一大堆答案。为什么?因为可用于安全性测试的方法太多,每种方法都有自己的优点和缺点。没有一种方法是绝对正确的,也没有一种方法能够揭示一个给定目标下所有可能的漏洞。在较高的层次上,有三种主要的方法用来发现安全漏洞:白盒测试、黑盒测试和灰盒测试。这些方法之间的差别是由测试者可得到的资源决定的。白盒测试是一个极端,它需要对所有资源进行充分地访问。这包括访问源代码、设计规约,甚至有可能还要访问程序员本人。黑盒测试是另一个极端,它几乎不需要知道软件的内部细节,很大程度上带有盲目测试的味道。远程web应用的pen测试是黑盒测试的一个好例子,它不需要访问程序源码。位于两个极端方法之间的是灰盒测试,它的定义因询问的人不同而不同。就我们的应用目的而言,灰盒测试需要访问编译后得到的二进制代码,或许还要访问一些基本的文档。 本章将考察漏洞发掘的各种不同的高层和低层方法,起点是白盒测试,你以前可能听说过这种方法也被称为玻璃、透明或半透明测试。之后我们再定义黑盒测试和灰盒测试,模糊测试可能就属于后两者。我们将阐述每种方法的利弊,这些方法的利弊将成为本书后面介绍模糊测试时所需要的背景知识。模糊测试只是漏洞发掘的一种方法,了解其他可选的实用方法也是相当重要的。 …… 更多 |
| 译者序 译者简介 序言 前言 致谢 第一部分 背景 第1章 安全鬻洞发掘方法学 1.1 白盒测试 1.1.1 源代码评审 1.1.2 工具和自动化 1.1.3 优点和缺点 1.2 黑盒测试 1.2.1 人工测试 1.2.2 自动测试或模糊测试 1.2.3 优点和缺点 1.3 灰盒测试 1.3.1 二进制审核 1.3.2 自动化的:进制审核 1.3.3 优点和缺点 1.4 小结 第2章 什么是模糊测试 2.1 模糊测试的定义 2.2 模糊测试的历史 2.3 模糊测试阶段 2.4 模糊测试的局限性和期锶 2.4.1 访问控制缺陷 2.4.2 设计逻辑不良 2.4.3者后门 2.4.4 内存破坏 2.4.5 多阶段安全漏洞 2.5 小结 第3章 模糊测试方法和模糊器类型 3.1 模糊测试方法 3.1.1 预先生成测试用例 3.1.2 随机方法 3.1.3 协议变异人工测试 3.1.4 变异或强制性测试 3.1.5 自动协议生成测试 3.2 模糊器类型 3.2.1 本地模糊器 3.2.2 远程模糊器 更多 |
内容加载中,请稍后...
商品评论(0条)