安全測試指南(第4版) ( 簡體 字) |
| 作者:(美國)OWASP基金會 | 類別:1. -> 安全 -> 網路安全 -> 駭客攻擊與入侵 |
| 譯者: |
| 出版社:電子工業出版社 |  3dWoo書號: 44662
詢問書籍請說出此書號!【缺書】
NT售價: 445 元 |
| 出版日:7/1/2016 |
| 頁數:484 |
| 光碟數:0 |
|
站長推薦:   |
| 印刷:黑白印刷 | 語系: ( 簡體 版 ) |
| |
加入購物車  │加到我的最愛
(請先登入會員) |
| ISBN:9787121292088 |
| 作者序 | 譯者序 | 前言 | 內容簡介 | 目錄 | 序 |
| (簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證) |
| 作者序: |
| 譯者序: |
前言:序1
軟件安全問題也許是我們這個時代最為重要的技術挑戰。Web應用程序實現了業務、社交網絡等網絡活動的飛速發展,同時也加劇了對軟件安全的要求。我們急需建立一個強大的方案來編寫和保護我們的互聯網、Web應用程序和數據。
OWASP團隊努力使安全的軟件成為這個世界上正常、規范的產品,而這份OWASP測試指南正是實現這個目標的重要一步。重要的是,我們用來測試軟件安全問題的方法是基于工程和科學的原則。我們需要一個一致的、可重復的和定義的方法來測試Web應用程序。而一個沒有工程和技術的最低標準的世界將是一個混亂的世界。
毫無疑問,沒有進行安全測試就無法建立一個安全的應用程序。測試是建立一個安全的系統使用的廣泛措施的一部分。然而,許多軟件開發組織的標準軟件開發流程中卻并不包含安全測試這一步驟。更糟的是,許多安全廠商提供了不同程度的質量和要求的測試。
由于攻擊者能夠利用無數種方法來攻破應用程序,而安全測試不可能測試全部的攻擊方法,所以安全測試其自身并非是衡量應用安全最有效的方法。我們只有有限的時間來測試和捍衛軟件安全,而攻擊者卻沒有這樣的限制,所以我們不能自己降低對安全的要求。
結合使用其他OWASP項目文檔,如《代碼審查指南》《開發指南》和類似OWASP ZAP的工具,是建立和維護安全的應用程序的一個好的開始。《開發指南》將告訴你如何設計和構建安全的應用程序,《代碼審查指南》將告訴你如何驗證應用程序源代碼的安全性,而《安全測試指南》將告訴你如何驗證正在運行的應用程序的安全性。我強烈推薦使用這些指南作為應用程序安全性驗證的一部分。
為什么選擇OWASP
創建一本這樣的指南是一份艱巨的工作,因為它匯集了數百位世界各地的專家的專業技能才得以完成。測試安全漏洞有許多不同的方式,但是這本指南卻在怎樣快捷、準確、有效地測試方面獲得了權威人士的一致認可。志同道合的安全專家們在OWASP團隊中一起工作,構建了安全問題的領先實踐方法。
安全不應該躲在暗處,只有少數人可以操作。它應該是向所有人開放,例如QA人員、開發人員和技術管理人員,而不只是專用于安全從業人員。建立這個指南的目的是讓需要它的人——你、我和參與構建軟件的任何人能掌握這些專業知識。
這本指南必須要在開發者和軟件測試者中推廣。因為世界上沒有足夠的應用安全專家來對所有問題做出重要建議。而應用安全最開始的責任肯定是落在軟件開發者的肩上,因為他們負責代碼的編寫。如果開發者沒有對軟件進行測試,或者在編寫時沒有考慮可能導致漏洞的Bug,那么他是不能編寫出安全的代碼的。
保證信息及時更新對這本指南至關重要。通過采用Wiki 方式,OWASP團隊能逐漸發展和擴大這本指南中的信息,以跟上快速發展的應用安全威脅的步伐。
本指南很好地證明了OWASP成員和項目志愿者的激情和能量,而這也必將小小地改變世界。
裁剪和優先級
這本指南可以通過裁剪來適用于組織的技術、流程及組織架構。一般在組織中有幾個不同的角色會使用到本指南。
● 開發人員:使用本指南以確保編寫出安全的代碼。這些測試應該是正常的編碼和單元測試計劃的一部分。
● 軟件測試和QA人員:使用本指南以擴充應用程序的測試組,盡早發現這些漏洞,將為以后節省大量的時間和精力。
● 安全專家:結合使用本指南與其他技術指南,作為一種確認方式,以確保應用程序中沒有被忽略的安全漏洞。
● 項目經理:思考本指南存在的原因,以及發現在代碼和設計缺陷中顯現的安全問題。
切記執行安全測試時,要不斷調整優先級。因為有無數種可能都會導致應用程序失敗,而組織的測試時間和資源是有限的。所以用有限的時間和資源來關注真正的安全漏洞風險業務,以及研究應用風險和其產生的條件是非常明智的做法。
本指南可以看作一組技術,我們可以用它們來尋找不同類型的安全漏洞。但并不是所有的技術同樣重要。請盡量避免將本指南作為核對清單來使用,因為新的漏洞總會出現,沒有任何指南可以窮盡測試的方法。但是,使用這本指南將是一個好的開始。
自動化工具的作用
有許多公司銷售自動化安全分析工具和測試工具,但是這些工具是有局限性的,需要將它們用在恰當的地方。正如邁克爾?霍華德在2006年OWASP西雅圖AppSec峰會上所說:“工具不會讓軟件安全!它們只是去規范過程和加強政策。”
重點是這些工具是通用的。也就是說,它們不是專門為自定義代碼,而是為了一般的應用程序而開發設計的。這意味著它們可以找到一些通用的問題,但是它們沒有足夠的應用程序知識來檢測大多數缺陷。根據經驗,最嚴重的安全問題是那些非通用的、深深交織在一起的業務邏輯和定制應用程序設計。
但是這些工具也是有用處的,它們確實發現了很多潛在的問題。運行這些工具并不需要太多時間,但是每一個潛在的問題都需要時間調查和驗證。如果我們的目標是盡快找到并消除最嚴重的缺陷,就最好考慮是否使用自動化工具或采用本指南中所述的技術來檢測。另外,這些工具也是一個平衡的應用程序安全計劃的一部分,如果使用得當,它們可以支持整個流程,以產生更安全的代碼。
行動呼吁
如果你正在構建、設計或測試軟件,我強烈建議你熟悉本書中的安全性測試指導。這是一個很好的關于今天面臨的最常見應用程序問題的測試匯總,但它并不詳盡。如果發現錯誤,請聯系我們修改。這將幫助成千上萬使用本指南的人。
歡迎任何一個個人或公司加入我們,這樣我們才能繼續創建像《安全測試指南》和其他OWASP項目的一樣的成果。
感謝所有的在過去和未來為這份指南做出貢獻的人們。你們的努力將推進并加強全球應用程序的安全性的發展。
Eoin Keary
OWASP董事會成員
2013年4月19日
序2
1)OWASP的宗旨:開放、協同的知識管理
在第4版OWASPS測試指南中,我們創建了一個新的測試指南,它將成為指導大家執行Web應用滲透測試的事實標準。
——Matteo Meucci
OWASP感謝每一位作者、審稿者和編輯的努力,正是他們的辛勤工作才讓測試指南成為今天這個樣子。如果你有任何關于本測試指南的意見或建議,請發電子郵件到以下郵箱:
http://lists.owasp.org/mailman/listinfo/owasp-testing
或者直接發郵件給本指南的負責人Andrew Muller 和Matteo Meucci。
2)第4版OWASP測試指南
相比第3版,第4版OWASP測試指南在以下3個方面進行了改進:
?本版測試指南集成了OWASP的其他兩個重要文檔交付件《開發者指南》和《代碼審查指南》。為了做到這一點,我們重新編排了測試類別和測試編號,以便與其他OWASP文檔交付件保持一致。《測試指南》和《代碼審查指南》的目的是評估《開發者指南》中所描述的安全控件是否達到了要求。
?對所有章節都進行了改進,并將測試用例數量擴展到87個(第3版只有64個),新增以下4個章節的介紹:
? 身份管理測試
? 錯誤處理
? 密碼
? 客戶端測試
?在這個版本的測試指南中,我們不僅鼓勵有關機構和團體簡單地接受本指南所列的測試用例,還鼓勵安全測試人員與其他軟件測試人員一起設計用于具體測試目標的有針對性的測試用例。如果發現了具有更廣泛適用性的測試用例,我們鼓勵安全機構和團體將它們分享出來,以完善本測試指南。這將有助于持續構建應用安全知識體系,使本測試指南的開發成為不斷迭代的而不是單向的過程。
3)歷史修訂
第4 版《測試指南》發布于2014 年。OWASP的測試指南于2003年首次發布,Dan Cuthbert 作為最初的編輯之一參與其中。于2005年移交給Eoin Keary 并轉變成Wiki 超文本系統。之后,Matteo Meucci 接管了本測試指南,現在是OWASP 測試指南項目負責人。從2012年起Andrew Muller協助Matteo Meucci領導這個項目。
? 2014年OWASP測試指南第4版
? 2008年9月15日OWASP測試指南第3版
? 2006年12月25日OWASP測試指南第2版
? 2004 年12 月OWASP測試指南第1版
? 2004 年7月14日 OWASP WEB應用安全滲透檢查表第1.1版
項目領導
? Andrew Muller:從2013年開始領導OWASP測試指南項目
? Matteo Meucci:從2007年開始領導OWASP測試指南項目
? Eoin Keary:2005—2007年領導OWASP測試指南項目
? Daniel Cuthbert:2003—2005年領導OWASP測試指南項目
中文版說明
本書為“OWASP Testing Guide V4.0”的中文版。該版本盡量提供原英文版本中的圖片,并與原版本保持相同的風格。存在的差異,敬請諒解。
感謝OWASP中國及SecZone自2008年OWASP Testing Guide V3.0發布以來 ,對該項目持續的跟進、翻譯研究分享。同時 ,也對該項目的參與人員表示感謝 。 |
內容簡介:軟件安全問題也許是這個時代面臨的最為重要的技術挑戰。Web應用程序讓業務、社交等網絡活動飛速發展,這同時也加劇了它們對軟件安全的要求。我們急需建立一個強大的方法來編寫和保護我們的互聯網、Web應用程序和數據,并基于工程和科學的原則,用一致的、可重復的和定義的方法來測試軟件安全問題。本書正是實現這個目標的重要一步,作為一本安全測試指南,詳細講解了Web應用測試的“4W1H”,即“什么是測試”、“為什么要測試”、“什么時間測試”、“測試哪里”以及“如何測試”。本書適合高等院校計算機相關專業師生閱讀,也適合廣大軟件開發人員、測試人員以及所有對軟件安全問題感興趣的讀者閱讀。 |
目錄:第一部分 項目概述及測試框架
第1章 OWASP測試項目 2
1.1 OWASP測試項目概述 2
1.2 測試原則 5
1.3 測試技術說明 9
1.3.1 測試技術說明概述 9
1.3.2 人工檢查及復查 9
1.3.3 軟件威脅建模 10
1.3.4 代碼審查 11
1.3.5 滲透測試 12
1.3.6 需要平衡的測試方法 13
1.3.7 關于Web應用掃描工具的注意事項 14
1.3.8 關于靜態源代碼復查工具的注意事項 15
1.3.9 安全測試需求推導 15
1.3.10 功能和非功能測試需求 18
1.3.11 安全測試集成于開發與測試工作流程 21
1.3.12 開發人員的安全測試 22
1.3.13 集成系統測試和操作測試 24
1.3.14 安全測試數據分析和報告 25
1.4 OWASP測試項目參考文獻 28
第2章 OWASP測試架構 30
2.1 OWASP測試架構概述 30
2.1.1 階段1:開發前 31
2.1.2 階段2:設計和定義階段 31
2.1.3 階段3:開發階段 33
2.1.4 階段4:部署中 33
2.1.5 階段5:維護和運行 34
2.2 典型SDLC測試流程 34
第二部分 測試方法
第3章 Web應用安全測試 36
3.1 Web應用安全測試概述 36
3.2 什么是OWASP測試方法? 37
第4章 信息收集測試 39
4.1 搜索引擎信息搜集(OTG-INFO-001) 39
4.1.1 信息搜集概述 39
4.1.2 信息搜集測試目標 40
4.1.3 信息搜集測試方法 40
4.2 Web服務器指紋識別(OTG-INFO-002) 42
4.2.1 Web服務器指紋識別概述 42
4.2.2 Web服務器指紋識別測試目標 42
4.2.3 Web服務器指紋識別測試方法 43
4.3 審查Web服務器元文件信息泄露(OTG-INFO-003) 48
4.3.1 審查Web服務器元文件信息泄露概述 48
4.3.2 審查Web服務器元文件信息泄露測試目標 48
4.3.3 審查Web服務器元文件信息泄露測試方法 49
4.4 枚舉Web服務器的應用(OTG-INFO-004) 52
4.4.1 枚舉Web服務器的應用概述 52
4.4.2 枚舉Web服務器的應用測試目標 53
4.4.3 枚舉Web服務器的應用測試方法 53
4.5 注釋和元數據信息泄露(OTG-INFO-005) 58
4.5.1 注釋和元數據信息泄露概述 58
4.5.2 注釋和元數據信息泄露測試目標 58
4.5.3 注釋和元數據信息泄露測試方法 58
4.6 識別應用的入口(OTG-INFO-006) 60
4.6.1 識別應用的入口概述 60
4.6.2 識別應用的入口測試目標 60
4.6.3 識別應用的入口測試方法 60
4.7 映射應用程序的執行路徑(OTG-INFO-007) 62
4.7.1 映射應用程序的執行路徑概述 62
4.7.2 映射應用程序的執行路徑測試目標 63
4.7.3 映射應用程序的執行路徑測試方法 63
4.8 識別Web應用框架(OTG-INFO-008) 64
4.8.1 識別Web應用框架概述 64
4.8.2 識別Web應用框架測試目標 65
4.8.3 識別Web應用框架測試方法 65
4.9 識別Web應用程序(OTG-INFO-009) 69
4.9.1 識別Web應用程序概述 69
4.9.2 識別Web應用程序測試目標 69
4.9.3 識別Web應用程序測試方法 69
4.10 映射應用架構(OTG-INFO-010) 73
4.10.1 映射應用架構概述 73
4.10.2 映射應用架構測試方法 73
4.10.3 防護Web服務器示例 74
4.11 信息收集測試工具 75
4.12 信息收集測試參考文獻 81
4.13 信息收集測試加固措施 83
第5章 配置管理測試 87
5.1 網絡和基礎設施配置測試(OTG-CONFIG-001) 87
5.1.1 網絡和基礎設施配置測試概述 87
5.1.2 網絡和基礎設施配置測試方法 88
5.2 應用平臺配置測試(OTG-CONFIG-002) 89
5.2.1 應用平臺配置測試概述 89
5.2.2 應用平臺配置測試方法 89
5.3 敏感信息文件擴展處理測試(OTG-CONFIG-003) 94
5.3.1 敏感信息文件擴展處理測試概述 94
5.3.2 敏感信息文件擴展處理測試方法 95
5.4 對舊文件、備份和未被引用文件的敏感信息的審查(OTG-CONFIG-004) 96
5.4.1 對舊文件、備份和未被引用文件的敏感信息的審查概述 96
5.4.2 對舊文件、備份和未被引用文件的敏感信息產生的威脅 97
5.4.3 對舊文件、備份和未被引用文件的敏感信息的測試方法 98
5.5 枚舉基礎設施和應用程序管理界面(OTG-CONFIG-005) 101
5.5.1 枚舉基礎設施和應用程序管理界面概述 101
5.5.2 枚舉基礎設施和應用程序管理界面測試方法 102
5.6 HTTP方法測試(OTG-CONFIG-006) 103
5.6.1 HTTP方法測試概述 103
5.6.2 任意的HTTP方法 104
5.6.3 HTTP方法測試方法 104
5.7 HTTP強制安全傳輸測試(OTG-CONFIG-007) 108
5.7.1 HTTP強制安全傳輸測試概述 108
5.7.2 HTTP強制安全傳輸測試方法 108
5.8 RIA跨域策略測試(OTG-CONFIG-008) 109
5.8.1 RIA跨域策略測試概述 109
5.8.2 跨域策略測試方法 110
5.9 配置部署管理測試工具 111
5.10 配置部署管理測試參考文獻 113
5.11 配置部署管理測試加固措施 116
第6章 身份管理測試 117
6.1 角色定義測試(OTG-IDENT-001) 117
6.1.1 角色定義測試概述 117
6.1.2 角色定義測試目標 117
6.1.3 角色定義測試方法 118
6.2 用戶注冊流程測試(OTG-IDENT-002) 118
6.2.1 用戶注冊流程測試概述 118
6.2.2 用戶注冊流程測試目標 118
6.2.3 用戶注冊流程測試方法 119
6.3 賬戶配置過程測試(OTG-IDENT-003) 120
6.3.1 賬戶配置過程測試概述 120
6.3.2 賬戶配置過程測試測試目標 120
6.3.3 賬戶配置過程測試測試方法 120
6.4 賬戶枚舉和可猜測的用戶賬戶測試(OTG-IDENT-004) 121
6.4.1 賬戶枚舉和可猜測的用戶賬戶測試概述 121
6.4.2 賬戶枚舉和可猜測的用戶賬戶測試方法 122
6.5 弱的或未實施的用戶策略測試(OTG-IDENT-005) 126
6.5.1 弱的或未實施的用戶策略測試概述 126
6.5.2 弱的或未實施的用戶策略測試目標 126
6.5.3 弱的或未實施的用戶策略測試方法 126
6.6 身份管理測試工具 126
6.7 身份管理測試參考文獻 127
6.8 身份管理測試加固措施 128
第7章 認證測試 129
7.1 憑證在加密通道中的傳輸測試(OTG-AUTHN-001) 129
7.1.1 憑證在加密通道中的傳輸測試概述 129
7.1.2 憑證在加密通道中的傳輸測試方法 130
7.2 默認用戶憑證測試(OTG-AUTHN-002) 133
7.2.1 默認用戶憑證測試概述 133
7.2.2 默認用戶憑證測試方法 133
7.3 弱鎖定機制測試(OTG-AUTHN-003) 136
7.3.1 弱鎖定機制測試概述 136
7.3.2 弱鎖定機制測試目標 136
7.3.3 弱鎖定機制測試方法 136
7.4 認證模式繞過測試(OTG-AUTHN-004) 138
7.4.1 認證模式繞過測試概述 138
7.4.2 認證模式繞過測試方法 138
7.5 記憶密碼功能存在威脅測試(OTG-AUTHN-005) 142
7.5.1 記憶密碼功能存在威脅測試概述 142
7.5.2 記憶密碼功能存在威脅測試方法 143
7.6 瀏覽器緩存威脅測試(OTG-AUTHN-006) 143
7.6.1 瀏覽器緩存威脅測試概述 143
7.6.2 瀏覽器緩存威脅測試方法 144
7.7 弱密碼策略測試(OTG-AUTHN-007) 145
7.7.1 弱密碼策略測試概述 145
7.7.2 弱密碼策略測試目標 145
7.7.3 弱密碼策略測試方法 146
7.8 弱安全問答測試(OTG-AUTHN-008) 146
7.8.1 弱安全問答測試概述 146
7.8.2 弱安全問答測試方法 147
7.9 弱密碼的更改或重設功能測試(OTG-AUTHN-009) 148
7.9.1 弱密碼的更改或重設功能測試概述 148
7.9.2 弱密碼的更改或重設功能測試目標 148
7.9.3 弱密碼的更改或重設功能測試方法 148
7.10 在輔助信道中較弱認證測試(OTG-AUTHN-010) 150
7.10.1 在輔助信道中較弱認證測試概述 150
7.10.2 在輔助信道中較弱認證測試示例 151
7.10.3 在輔助信道中較弱認證測試方法 151
7.10.4 關聯的測試用例 152
7.11 認證測試工具 152
7.12 認證測試參考文獻 153
7.13 認證測試加固措施 155
第8章 授權測試 156
8.1 目錄遍歷/文件包含測試(OTG-AUTHZ-001) 156
8.1.1 目錄遍歷/文件包含測試概述 156
8.1.2 目錄遍歷/文件包含測試方法 157
8.2 繞過授權模式測試(OTG-AUTHZ-002) 160
8.2.1 繞過授權模式測試概述 160
8.2.2 繞過授權模式測試方法 161
8.3 權限提升測試(OTG-AUTHZ-003) 161
8.3.1 權限提升測試概述 161
8.3.2 權限提升測試方法 162
8.4 不安全對象引用測試(OTG-AUTHZ-004) 163
8.4.1 不安全對象引用測試概述 163
8.4.2 不安全對象引用測試方法 163
8.5 授權測試工具 165
8.6 授權測試參考文獻 165
8.7 授權測試加固措施 166
第9章 會話管理測試 167
9.1 會話管理架構繞過測試(OTG-SESS-001) 167
9.1.1 會話管理架構繞過測試概述 167
9.1.2 會話管理架構繞過測試方法 168
9.2 Cookie屬性測試(OTG-SESS-002) 173
9.2.1 Cookie屬性測試概述 173
9.2.2 Cookie屬性測試方法 175
9.3 會話固化測試(OTG-SESS-003) 176
9.3.1 會話固化測試概述 176
9.3.2 會話固化測試方法 176
9.4 會話變量泄露測試(OTG-SESS-004) 178
9.4.1 會話變量泄露測試概述 178
9.4.2 會話變量泄露測試方法 178
9.5 跨站偽造請求(CSRF)測試(OTG-SESS-005) 181
9.5.1 跨站偽造請求(CSRF)測試概述 181
9.5.2 跨站偽造請求(CSRF)測試方法 184
9.6 會話管理測試工具 185
9.7 會話管理測試參考文獻 186
9.8 會話管理測試加固措施 188
第10章 輸入驗證測試 190
10.1 反射型跨站腳本測試(OTG-INPVAL-001) 190
10.1.1 反射型跨站腳本測試概述 190
10.1.2 反射型跨站腳本測試方法 191
10.2 存儲型跨站腳本測試(OTG-INPVAL-002) 195
10.2.1 存儲型跨站腳本測試概述 195
10.2.2 存儲型跨站腳本測試方法 196
10.3 HTTP方法篡改測試(OTG-INPVAL-003) 200
10.3.1 HTTP方法篡改測試概述 200
10.3.2 方法篡改測試方法 201
10.4 HTTP參數污染測試(OTG-INPVAL-004) 203
10.4.1 參數污染測試概述 203
10.4.2 參數污染測試方法 205
10.5 SQL注入測試(OTG-INPVAL-005) 207
10.5.1 SQL注入測試概述 207
10.5.2 注入測試方法 208
10.6 LDAP測試(OTG-INPVAL-006) 245
10.6.1 LDAP測試概述 245
10.6.2 LDAP測試方法 246
10.7 ORM注入測試(OTG-INPVAL-007) 247
10.7.1 ORM注入測試概述 247
10.7.2 ORM注入測試方法 247
10.8 XML注入測試(OTG-INPVAL-008) 248
10.8.1 XML注入測試概述 248
10.8.2 XML注入測試方法 248
10.8.3 發現漏洞 250
10.9 SSI注入測試(OTG-INPVAL-009) 255
10.9.1 SSI注入測試概述 255
10.9.2 SSI注入測試方法 256
10.10 XPath注入測試(OTG-INPVAL-010) 257
10.10.1 XPath注入測試概述 257
10.10.2 XPath注入測試方法 258
10.11 IMAP/SMTP注入測試(OTG-INPVAL-011) 259
10.11.1 IMAP/SMTP注入測試概述 259
10.11.2 IMAP/SMTP注入測試方法 260
10.12 代碼注入測試(OTG-INPVAL-012) 263
10.12.1 代碼注入測試概述 263
10.12.2 代碼注入測試方法 264
10.13 命令注入測試(OTG-INPVAL-013) 266
10.13.1 命令注入測試概述 266
10.13.2 命令注入測試方法 267
10.14 緩沖區溢出測試(OTG-INPVAL-014) 269
10.14.1 緩沖區溢出測試概述 269
10.14.2 緩沖區溢出測試方法 269
10.15 潛伏式漏洞測試(OTG-INPVAL-015) 278
10.15.1 潛伏式漏洞測試概述 278
10.15.2 潛伏式漏洞測試方法 279
10.16 HTTP拆分/走私測試(OTG-INPVAL-016) 281
10.16.1 HTTP拆分/走私測試概述 281
10.16.2 HTTP拆分/走私測試方法 282
10.17 輸入驗證測試工具 285
10.18 輸入驗證測試參考文獻 290
10.19 輸入驗證測試加固措施 297
第11章 錯誤處理測試 300
11.1 報錯信息測試(OTG-ERR-001) 300
11.1.1 報錯信息測試概述 300
11.1.2 報錯信息測試方法 302
11.2 堆棧軌跡測試(OTG-ERR-002) 305
11.2.1 堆棧軌跡測試概述 305
11.2.2 堆棧軌跡測試方法 306
11.3 錯誤處理測試工具 306
11.4 錯誤處理測試參考文獻 307
11.5 錯誤處理測試加固措施 307
?
第12章 加密體系脆弱性測試 310
12.1 SSL/TLS弱加密、傳輸層協議缺陷測試(OTG-CRYPST-001) 310
12.1.1 SSL/TLS弱加密、傳輸層協議缺陷測試概述 310
12.1.2 SSL/TLS弱加密、傳輸層協議缺陷測試方法 313
12.2 Padding Oracle攻擊測試(OTG-CRYPST-002) 342
12.2.1 Padding Oracle攻擊測試概述 342
12.2.2 Padding Oracle攻擊測試方法 343
12.3 通過未加密信道發送敏感數據測試(OTG-CRYPST-003) 344
12.3.1 通過未加密信道發送敏感數據測試概述 344
12.3.2 通過未加密信道發送敏感數據測試方法 345
12.4 加密體系脆弱性測試工具 347
12.5 加密體系脆弱性參考文獻 348
12.6 加密體系脆弱性加固措施(無) 351
第13章 業務邏輯測試 352
13.1 業務邏輯數據驗證測試(OTG-BUSLOGIC-001) 354
13.1.1 業務邏輯數據驗證測試概述 354
13.1.2 業務邏輯數據驗證測試示例 355
13.1.3 業務邏輯數據驗證測試方法 355
13.2 偽造請求的測試(OTG-BUSLOGIC-002) 356
13.2.1 偽造請求的測試概述 356
13.2.2 偽造請求的測試示例 357
13.2.3 偽造請求的測試方法 357
13.3 完整性檢查測試(OTG-BUSLOGIC-003) 358
13.3.1 完整性檢查測試概述 358
13.3.2 完整性檢查測試示例 359
13.3.3 完整性檢查測試方法 359
13.4 處理耗時測試(OTG-BUSLOGIC-004) 360
13.4.1 處理耗時測試概述 360
13.4.2 處理耗時測試示例 361
13.4.3 處理耗時測試方法 361
13.5 功能使用次數限制(OTG-BUSLOGIC-005) 361
13.5.1 功能使用次數限制概述 361
13.5.2 功能使用次數限制示例 362
13.5.3 功能使用次數限制測試方法 362
?
13.6 工作流程逃逸的測試(OTG-BUSLOGIC-006) 362
13.6.1 工作流程逃逸的測試概述 362
13.6.2 工作流程逃逸的測試示例 363
13.6.3 工作流程逃逸的測試方法 363
13.7 防御應用程序濫用測試(OTG-BUSLOGIC-007) 364
13.7.1 防御應用程序濫用測試概述 364
13.7.2 防御應用程序濫用測試示例 364
13.7.3 防御應用程序濫用測試方法 365
13.8 意外文件類型上傳測試(OTG-BUSLOGIC-008) 366
13.8.1 意外文件類型上傳測試概述 366
13.8.2 意外文件類型上傳測試示例 367
13.8.3 意外文件類型上傳測試方法 367
13.9 惡意文件上傳測試(OTG-BUSLOGIC-009) 367
13.9.1 惡意文件上傳測試概述 367
13.9.2 惡意文件上傳測試示例 368
13.9.3 惡意文件上傳測試方法 368
13.10 業務邏輯測試工具 369
13.11 業務邏輯測試參考文獻 371
13.12 業務邏輯測試加固措施 376
第14章 客戶端測試 378
14.1 基于DOM的跨站腳本測試(OTG-CLIENT-001) 378
14.1.1 基于DOM的跨站腳本測試概述 378
14.1.2 基于DOM的跨站腳本的測試方法 378
14.2 JavaScript執行測試(OTG-CLIENT-002) 381
14.2.1 JavaScript執行測試概述 381
14.2.2 JavaScript執行測試方法 381
14.3 HTML注入測試(OTG-CLIENT-003) 382
14.3.1 HTML注入測試概述 382
14.3.2 HTML注入測試方法 382
14.4 客戶端URL重定向測試(OTG-CLIENT-004) 384
14.4.1 客戶端URL重定向測試概述 384
14.4.2 客戶端URL重定向測試方法 384
14.5 CSS注入測試(OTG-CLIENT-005) 385
14.5.1 CSS注入測試概述 385
14.5.2 CSS注入測試方法 386
14.6 客戶端資源處理測試(OTG-CLIENT-006) 388
14.6.1 客戶端資源處理測試概述 388
14.6.2 客戶端資源處理測試方法 388
14.7 跨源資源共享測試(OTG-CLIENT-007) 390
14.7.1 跨源資源共享測試概述 390
14.7.2 跨源資源共享測試方法 391
14.8 跨站Flash測試(OTG-CLIENT-008) 395
14.8.1 跨站Flash測試概述 395
14.8.2 跨站Flash測試方法 395
14.9 點擊劫持測試(OTG-CLIENT-009) 401
14.9.1 點擊劫持測試概述 401
14.9.2 點擊劫持測試方法 402
14.10 WebSockets測試(OTG-CLIENT-010) 411
14.10.1 WebSockets測試概述 411
14.10.2 WebSockets測試方法 412
14.11 Web消息測試(OTG-CLIENT-011) 414
14.11.1 Web消息測試概述 414
14.11.2 Web消息測試方法 415
14.12 本地存儲測試(OTG-CLIENT-012) 417
14.12.1 本地存儲測試概述 417
14.12.2 本地存儲測試方法 417
14.13 客戶端測試工具 419
14.14 客戶端測試參考文獻 421
14.15 客戶端測試加固措施 425
第三部分 測試報告
第15章 報告 428
附錄A 測試工具 430
附錄B 推薦讀物 439
附錄C 模糊測試向量 444
附錄D 編碼注入 452
附錄E 測試項列表 455 |
| 序: |
