|
|
|
軟件安全問題也許是這個時代面臨的最為重要的技術挑戰。Web應用程序讓業務、社交等網絡活動飛速發展,這同時也加劇了它們對軟件安全的要求。我們急需建立一個強大的方法來編寫和保護我們的互聯網、Web應用程序和數據,並基於工程和科學的原則,用一致的、可重復的和定義的方法來測試軟件安全問題。
本書正是實現這個目標的重要一步,作為一本安全測試指南,詳細講解了Web應用測試的「4W1H」,即「什麼是測試」、「為什麼要測試」、「什麼時間測試」、「測試哪里」以及「如何測試」。本書適合高等院校計算機相關專業師生閱讀,也適合廣大軟件開發人員、測試人員以及所有對軟件安全問題感興趣的讀者閱讀。
OWASP是一個開源的、非盈利的全球性安全組織,致力於應用軟件的安全研究,在業界具有一流的影響力和權威性。作為OWASP面向中國的區域分支,OWASP中國自2006年正式啟動,目前已擁有來自互聯網安全專業領域和政府、電信、金融、教育等相關領域的會員近5000個,形成了強大的專業技術實力和行業資源聚集能力,有力推動了共同推動了安全標准、安全測試工具、安全指導手冊等應用安全技術在中國的發展,成為了積極推動中國互聯網安全技術創新、人才培養和行業發展的中堅力量。
作為OWASP中國的運營中心,互聯網安全研究中心(Security Zone,簡稱SecZone)是國內首個獨立、開源的互聯網安全研究機構。中心始終秉持引入、吸收、創新的發展宗旨,專注於互聯網安全前沿技術和OWASP項目的深度研究,常年組織開展各類開源培訓及沙龍活動,致力於通過對國內外技術、資源的整合、應用和創新,更好地服務業界同仁、服務行業發展,更有力地推動國內互聯網安全技術的進步與升級。
第一部分 項目概述及測試框架
第1章 OWASP測試項目
1.1 OWASP測試項目概述
1.2 測試原則
1.3 測試技術說明
1.3.1 測試技術說明概述
1.3.2 人工檢查及復查
1.3.3 軟件威脅建模
1.3.4 代碼審查
1.3.5 滲透測試
1.3.6 需要平衡的測試方法
1.3.7 關於Web應用掃描工具的注意事項
1.3.8 關於靜態源代碼復查工具的注意事項
1.3.9 安全測試需求推導
1.3.1 0 功能和非功能測試需求
1.3.1 1 安全測試集成於開發與測試工作流程
1.3.1 2 開發人員的安全測試
1.3.1 3 集成系統測試和操作測試
1.3.1 4 安全測試數據分析和報告
1.4 OWASP測試項目參考文獻
第2章 OWASP測試架構
2.1 OWASP測試架構概述
2.1.1 階段1:開發前
2.1.2 階段2:設計和定義階段
2.1.3 階段3:開發階段
2.1.4 階段4:部署中
2.1.5 階段5:維護和運行
2.2 典型SDLC測試流程
第二部分 測試方法
第3章 Web應用安全測試
3.1 Web應用安全測試概述
3.2 什麼是OWASP測試方法?
第4章 信息收集測試
4.1 搜索引擎信息搜集(OTG-INFO-001)
4.1.1 信息搜集概述
4.1.2 信息搜集測試目標
4.1.3 信息搜集測試方法
4.2 Web服務器指紋識別(OTG-INFO-002)
4.2.1 Web服務器指紋識別概述
4.2.2 Web服務器指紋識別測試目標
4.2.3 Web服務器指紋識別測試方法
4.3 審查Web服務器元文件信息泄露(OTG-INFO-003)
4.3.1 審查Web服務器元文件信息泄露概述
4.3.2 審查Web服務器元文件信息泄露測試目標
4.3.3 審查Web服務器元文件信息泄露測試方法
4.4 枚舉Web服務器的應用(OTG-INFO-004)
4.4.1 枚舉Web服務器的應用概述
4.4.2 枚舉Web服務器的應用測試目標
4.4.3 枚舉Web服務器的應用測試方法
4.5 注釋和元數據信息泄露(OTG-INFO-005)
4.5.1 注釋和元數據信息泄露概述
4.5.2 注釋和元數據信息泄露測試目標
4.5.3 注釋和元數據信息泄露測試方法
4.6 識別應用的入口(OTG-INFO-006)
4.6.1 識別應用的入口概述
4.6.2 識別應用的入口測試目標
4.6.3 識別應用的入口測試方法
……
第三部分 測試報告
第15章 報告
