孔夫子旧书网-网上买书卖书、古旧书收藏品交易平台 孔夫子旧书网-网上买书卖书、古旧书收藏品交易平台 占位居中 孔夫子旧书网-网上买书卖书、古旧书收藏品交易平台
商品
拍卖区
在售
已售
搜索历史
搜索
高级搜索

Web安全测试

Web安全测试
分享
扫描下方二维码分享到微信
打开微信,点击右上角”+“,
使用”扫一扫“即可将网页分享到朋友圈。
作者: , ,
出版社: 清华大学出版社
2010-03
版次: 1
ISBN: 9787302219682
定价: 39.00
装帧: 平装
开本: 16开
纸张: 胶版纸
页数: 281页
字数: 404千字
正文语种: 简体中文
原版书名: Web Security Testing Cookbook
分类: 计算机与互联网
1 张插图图片
137人买过
  •   在你对Web应用所执行的测试中,安全测试可能是zui重要的,但它却常常是zui容易被忽略的。本书中的秘诀演示了开发和测试人员在进行单元测试、回归测试或探索性测试的同时,如何去检查zui常见的Web安全问题。与即兴的安全评估不同的是,这些秘诀是可重复的、简洁的、系统的——可以完美地集成到你的常规测试套装中。
      本书中的秘诀所覆盖的基础知识包括了从观察客户端和服务器之间的消息到使用脚本完成登录并执行Web应用功能的多阶段测试。在本书的最后,你将能够建立精确定位到Ajax函数的测试,以及适用于常见怀疑对象(跨站式脚本和注入攻击)的大型多级测试。
      本书将帮助你:
      ·获取、安装和配置有用的——且免费的——安全测试工具
      ·理解你的应用如何与用户通信,这样你就可以在测试中更好地模拟攻击
      ·从许多不同的模拟常见攻击(比如SQL注入、跨站式脚本和操纵隐藏表单域)的方法中进行选择
      ·作为自动化测试的出发点,通过使用秘诀中的脚本和例子,使你的测试可重复
      不用再担心午夜来电话告诉你站点被破坏了。通过本书和示例中所用的免费工具,你可以将安全因素加入到你的测试套装中,从而得以睡个安稳觉。   PacoHope,是Cigital公司的一名技术经理,《MasteringFreeBsDand0penBsDsecurity》 (由O’Reilly出版)的合著者之一。他也发表过有关误用、滥用案例和PKI的文章。他曾被邀请到会议就软件安全需求、Web应用安全和嵌入式系统安全等话题发表演讲。在Cigital,他曾担任MasterCardInternationa!在安全策略方面的主题专家,而且曾协助一家世界500强的服务业公司编写软件安全策略。他也为软件开发和测试人员提供软件安全基础方面的培训。他还曾为博彩业和移动通信行业中的几家公司提出过软件安全方面的建议。Paco曾在威廉玛丽学院主修计算机科学和英语,并从弗吉尼亚大学获得计算机科学方面的理学硕士学位。

      BenWaltller,是Cigital公司的一名顾问,EditC00kies工具的开发者之一。他同时参与标准质量保证和软件安全方面的工作。他日复一日地设计和执行测试一一因此他理解忙碌的QA领域对简单秘诀的需求。他也曾对开放式Web应用程序安全项目(0WAsP)的成员就w曲应用测试工具发表过演讲。 序1
    前言3
    第1章绪论13
    1.1什么是安全测试13
    1.2什么是Web应用17
    1.3Web应用基础21
    1.4Web应用安全测试25
    1.5方法才是重点26

    第2章安装免费工具29
    2.1安装Firefox29
    2.2安装Firefox扩展30
    2.3安装Firebug31
    2.4安装OWASP的WebScarab32
    2.5在Windows上安装Perl及其软件包33
    2.6在Linux,Unix或OSX上安装Perl和使用CPAN34
    2.7安装CAL900035
    2.8安装ViewStateDecoder36
    2.9安装cURL36
    2.10安装Pornzilla37
    2.11安装Cygwin38
    2.12安装Nikto239
    2.13安装BurpSuite40
    2.14安装ApacheHTTPServer41

    第3章基本观察43
    3.1查看网页的HTML源代码44
    3.2查看源代码,高级功能45
    3.3使用Firebug观察实时的请求头48
    3.4使用WebScarab观察实时的POST数据52
    3.5查看隐藏表单域55
    3.6使用TamperData观察实时的响应头56
    3.7高亮显示JavaScript和注释59
    3.8检测JavaScript事件60
    3.9修改特定的元素属性61
    3.10动态跟踪元素属性63
    3.11结论65

    第4章面向Web的数据编码66
    4.1辨别二进制数据表示67
    4.2使用Base-6469
    4.3在网页中转换Base-36数字71
    4.4在Perl中使用Base-3671
    4.5使用以URL方式编码的数据72
    4.6使用HTML实体数据74
    4.7计算散列值76
    4.8辨别时间格式78
    4.9以编程方式对时间值进行编码80
    4.10解码ASP.NET的视图状态81
    4.11解码多重编码83

    第5章篡改输入85
    5.1截获和修改POST请求86
    5.2绕过输入限制89
    5.3篡改URL90
    5.4自动篡改URL93
    5.5测试对URL长度的处理94
    5.6编辑Cookie96
    5.7伪造浏览器头信息99
    5.8上传带有恶意文件名的文件101
    5.9上传大文件104
    5.10上传恶意XML实体文件105
    5.11上传恶意XML结构107
    5.12上传恶意ZIP文件109
    5.13上传样例病毒文件110
    5.14绕过用户界面的限制111

    第6章自动化批量扫描114
    6.1使用WebScarab爬行网站115
    6.2将爬行结果转换为清单117
    6.3减少要测试的URL120
    6.4使用电子表格程序来精简列表120
    6.5使用LWP对网站做镜像121
    6.6使用wget对网站做镜像123
    6.7使用wget对特定的清单做镜像124
    6.8使用Nikto扫描网站125
    6.9理解Nikto的输出结果127
    6.10使用Nikto扫描HTTPS站点128
    6.11使用带身份验证的Nikto129
    6.12在特定起始点启动Nikto130
    6.13在Nikto中使用特定的会话Cookie131
    6.14使用WSFuzzer测试Web服务132
    6.15理解WSFuzzer的输出结果134

    第7章使用cURL实现特定任务的自动化137
    7.1使用cURL获取页面138
    7.2获取URL的许多变体139
    7.3自动跟踪重定向140
    7.4使用cURL检查跨站式脚本141
    7.5使用cURL检查目录遍历144
    7.6冒充特定类型的网页浏览器或设备147
    7.7以交互方式冒充另一种设备149
    7.8使用cURL模仿搜索引擎151
    7.9通过假造Referer头信息来伪造工作流程152
    7.10仅获取HTTP头153
    7.11使用cURL发送POST请求154
    7.12保持会话状态156
    7.13操纵Cookie157
    7.14使用cURL上传文件158
    7.15建立多级测试用例159
    7.16结论164

    第8章使用LibWWWPerl实现自动化166
    8.1编写简单的Perl脚本来获取页面167
    8.2以编程方式更改参数169
    8.3使用POST模仿表单输入170
    8.4捕获和保存Cookie172
    8.5检查会话过期173
    8.6测试会话固定175
    8.7发送恶意Cookie值177
    8.8上传恶意文件内容179
    8.9上传带有恶意名称的文件181
    8.10上传病毒到应用182
    8.11使用Perl解析接收到的值184
    8.12以编程方式来编辑页面186
    8.13使用线程化提高性能189

    第9章查找设计缺陷191
    9.1绕过必需的导航192
    9.2尝试特权操作194
    9.3滥用密码恢复195
    9.4滥用可预测的标识符197
    9.5预测凭证199
    9.6找出应用中的随机数200
    9.7测试随机数202
    9.8滥用可重复性204
    9.9滥用高负载操作206
    9.10滥用限制性的功能208
    9.11滥用竞争条件209

    第10章攻击AJAX211
    10.1观察实时的AJAX请求213
    10.2识别应用中的JavaScript214
    10.3从AJAX活动回溯到源代码215
    10.4截获和修改AJAX请求216
    10.5截获和修改服务器响应218
    10.6使用注入数据破坏AJAX220
    10.7使用注入XML破坏AJAX222
    10.8使用注入JSON破坏AJAX223
    10.9破坏客户端状态224
    10.10检查跨域访问226
    10.11通过JSON劫持来读取私有数据227

    第11章操纵会话229
    11.1在Cookie中查找会话标识符230
    11.2在请求中查找会话标识符232
    11.3查找Authentication头233
    11.4分析会话ID过期235
    11.5使用Burp分析会话标识符239
    11.6使用WebScarab分析会话随机性240
    11.7更改会话以逃避限制245
    11.8假扮其他用户247
    11.9固定会话248
    11.10测试跨站请求伪造249

    第12章多层面的测试251
    12.1使用XSS窃取Cookie251
    12.2使用XSS创建覆盖253
    12.3使用XSS产生HTTP请求255
    12.4以交互方式尝试基于DOM的XSS256
    12.5绕过字段长度限制(XSS)258
    12.6以交互方式尝试跨站式跟踪259
    12.7修改Host头261
    12.8暴力猜测用户名和密码263
    12.9以交互方式尝试PHP包含文件注入265
    12.10制作解压缩炸弹266
    12.11以交互方式尝试命令注入268
    12.12系统地尝试命令注入270
    12.13以交互方式尝试XPath注入273
    12.14以交互方式尝试服务器端包含(SSI)注入275
    12.15系统地尝试服务器端包含(SSI)注入276
    12.16以交互方式尝试LDAP注入278
    12.17以交互方式尝试日志注入280
  • 内容简介:
      在你对Web应用所执行的测试中,安全测试可能是zui重要的,但它却常常是zui容易被忽略的。本书中的秘诀演示了开发和测试人员在进行单元测试、回归测试或探索性测试的同时,如何去检查zui常见的Web安全问题。与即兴的安全评估不同的是,这些秘诀是可重复的、简洁的、系统的——可以完美地集成到你的常规测试套装中。
      本书中的秘诀所覆盖的基础知识包括了从观察客户端和服务器之间的消息到使用脚本完成登录并执行Web应用功能的多阶段测试。在本书的最后,你将能够建立精确定位到Ajax函数的测试,以及适用于常见怀疑对象(跨站式脚本和注入攻击)的大型多级测试。
      本书将帮助你:
      ·获取、安装和配置有用的——且免费的——安全测试工具
      ·理解你的应用如何与用户通信,这样你就可以在测试中更好地模拟攻击
      ·从许多不同的模拟常见攻击(比如SQL注入、跨站式脚本和操纵隐藏表单域)的方法中进行选择
      ·作为自动化测试的出发点,通过使用秘诀中的脚本和例子,使你的测试可重复
      不用再担心午夜来电话告诉你站点被破坏了。通过本书和示例中所用的免费工具,你可以将安全因素加入到你的测试套装中,从而得以睡个安稳觉。
  • 作者简介:
      PacoHope,是Cigital公司的一名技术经理,《MasteringFreeBsDand0penBsDsecurity》 (由O’Reilly出版)的合著者之一。他也发表过有关误用、滥用案例和PKI的文章。他曾被邀请到会议就软件安全需求、Web应用安全和嵌入式系统安全等话题发表演讲。在Cigital,他曾担任MasterCardInternationa!在安全策略方面的主题专家,而且曾协助一家世界500强的服务业公司编写软件安全策略。他也为软件开发和测试人员提供软件安全基础方面的培训。他还曾为博彩业和移动通信行业中的几家公司提出过软件安全方面的建议。Paco曾在威廉玛丽学院主修计算机科学和英语,并从弗吉尼亚大学获得计算机科学方面的理学硕士学位。

      BenWaltller,是Cigital公司的一名顾问,EditC00kies工具的开发者之一。他同时参与标准质量保证和软件安全方面的工作。他日复一日地设计和执行测试一一因此他理解忙碌的QA领域对简单秘诀的需求。他也曾对开放式Web应用程序安全项目(0WAsP)的成员就w曲应用测试工具发表过演讲。
  • 目录:
    序1
    前言3
    第1章绪论13
    1.1什么是安全测试13
    1.2什么是Web应用17
    1.3Web应用基础21
    1.4Web应用安全测试25
    1.5方法才是重点26

    第2章安装免费工具29
    2.1安装Firefox29
    2.2安装Firefox扩展30
    2.3安装Firebug31
    2.4安装OWASP的WebScarab32
    2.5在Windows上安装Perl及其软件包33
    2.6在Linux,Unix或OSX上安装Perl和使用CPAN34
    2.7安装CAL900035
    2.8安装ViewStateDecoder36
    2.9安装cURL36
    2.10安装Pornzilla37
    2.11安装Cygwin38
    2.12安装Nikto239
    2.13安装BurpSuite40
    2.14安装ApacheHTTPServer41

    第3章基本观察43
    3.1查看网页的HTML源代码44
    3.2查看源代码,高级功能45
    3.3使用Firebug观察实时的请求头48
    3.4使用WebScarab观察实时的POST数据52
    3.5查看隐藏表单域55
    3.6使用TamperData观察实时的响应头56
    3.7高亮显示JavaScript和注释59
    3.8检测JavaScript事件60
    3.9修改特定的元素属性61
    3.10动态跟踪元素属性63
    3.11结论65

    第4章面向Web的数据编码66
    4.1辨别二进制数据表示67
    4.2使用Base-6469
    4.3在网页中转换Base-36数字71
    4.4在Perl中使用Base-3671
    4.5使用以URL方式编码的数据72
    4.6使用HTML实体数据74
    4.7计算散列值76
    4.8辨别时间格式78
    4.9以编程方式对时间值进行编码80
    4.10解码ASP.NET的视图状态81
    4.11解码多重编码83

    第5章篡改输入85
    5.1截获和修改POST请求86
    5.2绕过输入限制89
    5.3篡改URL90
    5.4自动篡改URL93
    5.5测试对URL长度的处理94
    5.6编辑Cookie96
    5.7伪造浏览器头信息99
    5.8上传带有恶意文件名的文件101
    5.9上传大文件104
    5.10上传恶意XML实体文件105
    5.11上传恶意XML结构107
    5.12上传恶意ZIP文件109
    5.13上传样例病毒文件110
    5.14绕过用户界面的限制111

    第6章自动化批量扫描114
    6.1使用WebScarab爬行网站115
    6.2将爬行结果转换为清单117
    6.3减少要测试的URL120
    6.4使用电子表格程序来精简列表120
    6.5使用LWP对网站做镜像121
    6.6使用wget对网站做镜像123
    6.7使用wget对特定的清单做镜像124
    6.8使用Nikto扫描网站125
    6.9理解Nikto的输出结果127
    6.10使用Nikto扫描HTTPS站点128
    6.11使用带身份验证的Nikto129
    6.12在特定起始点启动Nikto130
    6.13在Nikto中使用特定的会话Cookie131
    6.14使用WSFuzzer测试Web服务132
    6.15理解WSFuzzer的输出结果134

    第7章使用cURL实现特定任务的自动化137
    7.1使用cURL获取页面138
    7.2获取URL的许多变体139
    7.3自动跟踪重定向140
    7.4使用cURL检查跨站式脚本141
    7.5使用cURL检查目录遍历144
    7.6冒充特定类型的网页浏览器或设备147
    7.7以交互方式冒充另一种设备149
    7.8使用cURL模仿搜索引擎151
    7.9通过假造Referer头信息来伪造工作流程152
    7.10仅获取HTTP头153
    7.11使用cURL发送POST请求154
    7.12保持会话状态156
    7.13操纵Cookie157
    7.14使用cURL上传文件158
    7.15建立多级测试用例159
    7.16结论164

    第8章使用LibWWWPerl实现自动化166
    8.1编写简单的Perl脚本来获取页面167
    8.2以编程方式更改参数169
    8.3使用POST模仿表单输入170
    8.4捕获和保存Cookie172
    8.5检查会话过期173
    8.6测试会话固定175
    8.7发送恶意Cookie值177
    8.8上传恶意文件内容179
    8.9上传带有恶意名称的文件181
    8.10上传病毒到应用182
    8.11使用Perl解析接收到的值184
    8.12以编程方式来编辑页面186
    8.13使用线程化提高性能189

    第9章查找设计缺陷191
    9.1绕过必需的导航192
    9.2尝试特权操作194
    9.3滥用密码恢复195
    9.4滥用可预测的标识符197
    9.5预测凭证199
    9.6找出应用中的随机数200
    9.7测试随机数202
    9.8滥用可重复性204
    9.9滥用高负载操作206
    9.10滥用限制性的功能208
    9.11滥用竞争条件209

    第10章攻击AJAX211
    10.1观察实时的AJAX请求213
    10.2识别应用中的JavaScript214
    10.3从AJAX活动回溯到源代码215
    10.4截获和修改AJAX请求216
    10.5截获和修改服务器响应218
    10.6使用注入数据破坏AJAX220
    10.7使用注入XML破坏AJAX222
    10.8使用注入JSON破坏AJAX223
    10.9破坏客户端状态224
    10.10检查跨域访问226
    10.11通过JSON劫持来读取私有数据227

    第11章操纵会话229
    11.1在Cookie中查找会话标识符230
    11.2在请求中查找会话标识符232
    11.3查找Authentication头233
    11.4分析会话ID过期235
    11.5使用Burp分析会话标识符239
    11.6使用WebScarab分析会话随机性240
    11.7更改会话以逃避限制245
    11.8假扮其他用户247
    11.9固定会话248
    11.10测试跨站请求伪造249

    第12章多层面的测试251
    12.1使用XSS窃取Cookie251
    12.2使用XSS创建覆盖253
    12.3使用XSS产生HTTP请求255
    12.4以交互方式尝试基于DOM的XSS256
    12.5绕过字段长度限制(XSS)258
    12.6以交互方式尝试跨站式跟踪259
    12.7修改Host头261
    12.8暴力猜测用户名和密码263
    12.9以交互方式尝试PHP包含文件注入265
    12.10制作解压缩炸弹266
    12.11以交互方式尝试命令注入268
    12.12系统地尝试命令注入270
    12.13以交互方式尝试XPath注入273
    12.14以交互方式尝试服务器端包含(SSI)注入275
    12.15系统地尝试服务器端包含(SSI)注入276
    12.16以交互方式尝试LDAP注入278
    12.17以交互方式尝试日志注入280
查看详情
相关分类
计算机理论 编程与开发 操作系统 大数据与云计算 图形图像/多媒体 网站设计与网页开发 网络与通讯 硬件、嵌入式开发 办公软件 信息安全 辅助设计与工程计算 软件工程/开发项目管理
12
相关图书 / 更多
Web安全测试
Web前端开发与项目实践
魏慧;胡沁涵
45.68
Web安全测试
Web前端设计
王珊
32.84
Web安全测试
Web应用开发技术(微课版)
白磊
30.60
Web安全测试
Web 3.0:打造良好体验的品牌方法论
施襄 著
33.08
Web安全测试
Web API设计原则通过API和微服务实现价值交付
(美)詹姆斯·希金博特姆(James Higginbotham)
50.00
Web安全测试
Weir & Abrahams 人体解剖影像图谱(第6版)
袁慧书 著
59.40
Web安全测试
Web3.0:数字时代赋能与变革
贾新峰
34.68
Web安全测试
Web3.0:构建数字经济新未来
翟振林
29.75
Web安全测试
Web前端开发基础
韩少云、王春梅 著
6.30
Web安全测试
Web3.0时代:创新思维赋能数字未来
徐俊
34.68
Web安全测试
Web前端开发实战
郭凯;孔繁玉;张有宽
24.63
Web安全测试
Web前端设计基础(第2版)
李立威;薛晓霞;王晓红;李丹丹;王艳娥
36.30
您可能感兴趣 / 更多
Web安全测试
What Women Want: The Global Marketplace Turns Female-Friendly
Paco Underhill(帕克·安德席尔) 著
50.00
Web安全测试
Why We Buy:The Science of Shopping--Updated and Revised for the Internet, the Global Consumer, and Beyond
Paco Underhill(帕克·安德席尔) 著
40.00
Web安全测试
Web Security Testing Cookbook:Systematic Techniques to Find Problems Fast
Paco Hope;Ben Walther
15.00
Web安全测试
Why We Buy:The Science Of Shopping
Paco Underhill
11.44
Web安全测试
The Assassins' Gate:America in Iraq
Packer;George
45.10
Web安全测试
Food Design
Paco Asensio
60.00
Web安全测试
Call of the Mall: The Geography of Shopping by the Author of Why We Buy大卖场(摩尔改变生活)
Paco Underhill 著
120.00
Web安全测试
The Complete Guide to Flower Arranging
Packer Jane 著
260.00
Web安全测试
Organ Works
Pachelbel, Johann
289.00
Web安全测试
The Call of the Mall
Paco Underhill 著
10.00
© 2002-2024 Kongfz.com 孔夫子旧书网 版权所有
关于孔网 联系我们 帮助中心 版权隐私 广告业务 工作机会 移动版 图书目录 图书标签 热搜书籍 作家大全