Web安全測試

定　價(jià)：￥39.00

作　者：	（美）Steven Splaine；李昂等譯；李昂譯
出版社：	機(jī)械工業(yè)出版社
叢編項(xiàng)：	網(wǎng)絡(luò)與信息安全技術(shù)叢書
標(biāo)　簽：	網(wǎng)絡(luò)安全

購買這本書可以去

當(dāng)當(dāng)網(wǎng) (￥31.20)

ISBN：	9787111119081	出版時(shí)間：	2003-05-01	包裝：	平裝
開本：	24cm	頁數(shù)：	264	字?jǐn)?shù)：

內(nèi)容簡介

　　本書分為五個(gè)部分：第一部分提供了本書的概述并闡明了本書的主要框架。第二部分為“測試計(jì)劃”，并涉及圍繞著計(jì)劃測試效果的一些相關(guān)事項(xiàng)。第三部分“測試設(shè)計(jì)”是本書的重點(diǎn)，大部分內(nèi)容為詳細(xì)列舉的各種各樣的可選測試，這一部分包括了第3、4、5、6、7、8章。第四部分是“測試實(shí)施”，講述如何最好地執(zhí)行這些測試，即由誰來實(shí)際做這些工作、需要使用什么工具以及以什么順序執(zhí)行測試（排列測試優(yōu)先級），這部分包括第9章和第10章。在全書的最后，還附有豐富的附錄，提供了大量的背景知識。本書使用了最新的材料，書中所列各種測試方法都有實(shí)際的步驟及具體的項(xiàng)目，因而操作性較強(qiáng)，是一本不可多得的好書。本書適合專業(yè)的網(wǎng)站安全評估人員閱讀，對于各公司的CIO、系統(tǒng)管理員以及廣大的網(wǎng)絡(luò)技術(shù)研究者也很有參考價(jià)值。計(jì)劃安全測試的效果：策略、測試團(tuán)隊(duì)以及工具如何定義項(xiàng)目的范圍測試網(wǎng)絡(luò)安全和系統(tǒng)軟件的配置檢查Web應(yīng)用的安全性漏洞評估一個(gè)組織如何有效防范那些使用社會(huì)工程、垃圾搜尋、內(nèi)部同謀以及物理破壞方式的攻擊有關(guān)對那些用來混淆入侵者的設(shè)計(jì)進(jìn)行測試的獨(dú)特挑戰(zhàn) 使用風(fēng)險(xiǎn)分析來關(guān)注對組織具有最大威脅的領(lǐng)域的測試效果。

作者簡介

暫缺《Web安全測試》作者簡介

圖書目錄

第一部分本書概述
第1章概述
1.1 本書的目的
1.2 本書的測試方法
1.3 本書的組織
1.4 本書所用的術(shù)語
1.4.1 黑客、破解者、腳本玩家及心懷不滿的內(nèi)部人員
1.4.2 測試詞匯
1.5 本書的讀者對象
1.6 小結(jié)
第二部分計(jì)劃測試效果
第2章測試計(jì)劃
2.1 需求
2.1.1 澄清要求
2.1.2 安全策略
2.2 測試計(jì)劃的結(jié)構(gòu)
2.2.1 測試計(jì)劃標(biāo)識
2.2.2 介紹
2.2.3 項(xiàng)目范圍
2.2.4 變動(dòng)控制過程
2.2.5 待測的特性
2.2.6 不測的特性
2.2.7 方法
2.2.8 通過/未通過標(biāo)準(zhǔn)
2.2.9 暫停標(biāo)準(zhǔn)和重置要求
2.2.10 測試交付物
2.2.11 環(huán)境需要
2.2.12 配置管理
2.2.13 責(zé)任
2.2.14 提供人員和培訓(xùn)需要
2.2.15 進(jìn)度
2.2.16 項(xiàng)目結(jié)束
2.2.17 預(yù)計(jì)風(fēng)險(xiǎn)和應(yīng)急措施
2.2.18 情況
2.2.19 假設(shè)
2.2.20 約束和依賴
2.2.21 簡寫和定義
2.2.22 引用
2.2.23 批準(zhǔn)
2.3 主測試計(jì)劃
2.4 小結(jié)
第三部分測試設(shè)計(jì)
第3章網(wǎng)絡(luò)安全
3.1 界定方法
3.2 界定樣例
3.2.1 旅館連鎖店
3.2.2 家具制造廠
3.2.3 會(huì)計(jì)公司
3.2.4 搜索引擎
3.2.5 測試實(shí)驗(yàn)室
3.2.6 暫停標(biāo)準(zhǔn)
3.3 設(shè)備清單
3.4 網(wǎng)絡(luò)拓?fù)?nbsp;
3.5 確認(rèn)網(wǎng)絡(luò)設(shè)計(jì)
3.5.1 網(wǎng)絡(luò)設(shè)計(jì)修訂
3.5.2 網(wǎng)絡(luò)設(shè)計(jì)檢驗(yàn)
3.6 核對設(shè)備清單
3.6.1 物理位置
3.6.2 未授權(quán)的設(shè)備
3.6.3 網(wǎng)絡(luò)地址
3.7 核對網(wǎng)絡(luò)拓?fù)?br />3.7.1 網(wǎng)絡(luò)連接
3.7.2 設(shè)備可訪問性
3.8 補(bǔ)充的網(wǎng)絡(luò)安全
3.8.1 網(wǎng)絡(luò)地址破壞
3.8.2 安全的LAN通信
3.8.3 無線網(wǎng)段
3.8.4 DoS攻擊
3.9 小結(jié)
第4章系統(tǒng)軟件安全
4.1 安全認(rèn)證
4.2 補(bǔ)丁
4.3 強(qiáng)化
4.4 屏蔽
4.5 服務(wù)
4.6 目錄和文件
4.7 用戶ID與密碼
4.7.1 手工猜測用戶ID和密碼
4.7.2 自動(dòng)猜測用戶ID和密碼
4.7.3 經(jīng)由社會(huì)工程獲得信息
4.7.4 心懷不滿的雇員策劃違法行為
4.8 用戶組
4.9 小結(jié)
第5章客戶端應(yīng)用程序安全
5.1 應(yīng)用程序攻擊點(diǎn)
5.2 客戶端識別和驗(yàn)證
5.2.1 基于用戶知道的信息：knows-something方法
5.2.2 基于用戶擁有的東西：has-something方法
5.2.3 基于用戶是什么的特性：生物測定學(xué)方法
5.3 用戶許可
5.3.1 功能限制
5.3.2 數(shù)據(jù)限制
5.3.3 功能和數(shù)據(jù)交叉限制
5.4 測試非法導(dǎo)航
5.4.1 HTTP報(bào)頭分析
5.4.2 HTTP報(bào)頭期滿
5.4.3 客戶端應(yīng)用程序代碼
5.4.4 Session ID
5.4.5 導(dǎo)航工具
5.5 客戶端數(shù)據(jù)
5.5.1 cookie
5.5.2 hidden字段
5.5.3 URL
5.5.4 本地?cái)?shù)據(jù)文件
5.5.5 Windows注冊表
5.6 安全的客戶端傳輸
5.6.1 數(shù)字證書
5.6.2 加密強(qiáng)度
5.6.3 混合加密和未加密內(nèi)容
5.6.4 避免加密瓶頸
5.7 移動(dòng)式應(yīng)用程序代碼
5.7.1 ActiveX控件
5.7.2 Java applet
5.7.3 客戶端腳本
5.7.4 探測特洛伊木馬移動(dòng)式代碼
5.8 客戶端安全
5.8.1 防火墻
5.8.2 瀏覽器安全設(shè)置
5.8.3 客戶端自適應(yīng)代碼
5.8.4 客戶端嗅探
5.9 小結(jié)
第6章服務(wù)器端應(yīng)用程序安全
6.1 CGI
6.1.1 語言選擇
6.1.2 CGI與輸入數(shù)據(jù)
6.1.3 許可和目錄
6.1.4 可擴(kuò)充性
6.2 第三方CGI腳本
6.3 服務(wù)器端包含
6.4 動(dòng)態(tài)代碼
6.4.1 查看模板
6.4.2 單點(diǎn)失敗
6.4.3 系統(tǒng)命令
6.4.4 示范腳本
6.4.5 有用的錯(cuò)誤消息
6.5 應(yīng)用程序代碼
6.5.1 可編譯源代碼
6.5.2 不可編譯的源代碼
6.5.3 版權(quán)
6.5.4 有用的錯(cuò)誤消息
6.5.5 舊版本
6.6 輸入數(shù)據(jù)
6.6.1 無效數(shù)據(jù)類型
6.6.2 無效范圍
6.6.3 緩沖區(qū)溢出
6.6.4 擴(kuò)展符
6.7 服務(wù)器端數(shù)據(jù)
6.7.1 數(shù)據(jù)文件名
6.7.2 數(shù)據(jù)絆網(wǎng)
6.7.3 數(shù)據(jù)保險(xiǎn)箱
6.7.4 WORM
6.7.5 數(shù)據(jù)加密
6.7.6 數(shù)據(jù)偽裝
6.7.7 數(shù)據(jù)安全島
6.7.8 分布式的拷貝
6.7.9 碎片數(shù)據(jù)
6.7.10 由數(shù)據(jù)庫管理系統(tǒng)加強(qiáng)的約束
6.7.11 過濾的索引
6.8 應(yīng)用程序級入侵者偵查
6.9 小結(jié)
第7章潛在的攻擊：防范很少考慮的安全威脅
7.1 打擊社交工程
7.1.1 通過電話
7.1.2 通過電子郵件
7.1.3 通過額外的信件
7.1.4 欺騙個(gè)人
7.2 處理Dumpster Diver
7.2.1 對紙張的合適處理
7.2.2 清理頭腦風(fēng)暴會(huì)議之后的遺留信息
7.2.3 正確處置電子硬件設(shè)備
7.3 提防內(nèi)部同謀
7.3.1 預(yù)防措施和威懾手段
7.3.2 探測措施
7.3.3 補(bǔ)救和檢舉措施
7.4 防止物理攻擊
7.4.1 設(shè)備的安全保護(hù)
7.4.2 硬件的安全保護(hù)
7.4.3 軟件的安全保護(hù)
7.4.4 數(shù)據(jù)的安全保護(hù)
7.5 對自然災(zāi)難的預(yù)防
7.6 防止惡意破壞
7.7 小結(jié)
第8章入侵者混淆、探測和響應(yīng)
8.1 入侵者混淆
8.1.1 動(dòng)態(tài)防護(hù)
8.1.2 欺騙性防護(hù)
8.1.3 honey pot
8.1.4 侵入混淆的評價(jià)
8.2 侵入探測
8.2.1 侵入探測系統(tǒng)
8.2.2 審計(jì)跟蹤
8.2.3 絆網(wǎng)與校驗(yàn)和
8.2.4 有害軟件
8.2.5 監(jiān)控
8.3 侵入響應(yīng)
8.3.1 侵入確認(rèn)
8.3.2 破壞遏制
8.3.3 破壞評估和法律調(diào)查
8.3.4 破壞控制和恢復(fù)
8.3.5 系統(tǒng)搶救和恢復(fù)
8.3.6 通知
8.3.7 起訴和反攻擊
8.3.8 策略檢查
8.4 小結(jié)
第四部分測試實(shí)施
第9章評估和滲透選擇
9.1 人員選擇
9.1.1 自己做
9.1.2 請專業(yè)公司做
9.1.3 自己做和請專業(yè)公司做結(jié)合的測試方法
9.2 測試工具
9.2.1 人工方法
9.2.2 自動(dòng)方法
9.2.3 工具評價(jià)
9.3 小結(jié)
第10章風(fēng)險(xiǎn)分析
10.1 重用
10.1.1 資產(chǎn)審核
10.1.2 漏洞樹和攻擊樹
10.1.3 差距分析
10.2 測試優(yōu)先級
10.2.1 設(shè)備清單
10.2.2 威脅
10.2.3 業(yè)務(wù)影響
10.2.4 風(fēng)險(xiǎn)可能性
10.2.5 計(jì)算相對危險(xiǎn)程度
10.2.6 標(biāo)識和指定候選測試
10.2.7 優(yōu)先級修改
10.2.8 測試時(shí)間表
10.2.9 FMECA
10.3 小結(jié)
第五部分附錄
附錄A 網(wǎng)絡(luò)協(xié)議、地址和設(shè)備概述
附錄B SANS評出的前20種關(guān)鍵的Internet安全漏洞
附錄C 可交付的測試模板
附錄D 其他資源