Web安全測(cè)試

定　價(jià)：￥39.00

作　者：	（美）Steven Splaine；李昂等譯；李昂譯
出版社：	機(jī)械工業(yè)出版社
叢編項(xiàng)：	網(wǎng)絡(luò)與信息安全技術(shù)叢書
標(biāo)　簽：	網(wǎng)絡(luò)安全

購買這本書可以去

當(dāng)當(dāng)網(wǎng) (￥31.20)

ISBN：	9787111119081	出版時(shí)間：	2003-05-01	包裝：	平裝
開本：	24cm	頁數(shù)：	264	字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

　　本書分為五個(gè)部分：第一部分提供了本書的概述并闡明了本書的主要框架。第二部分為“測(cè)試計(jì)劃”，并涉及圍繞著計(jì)劃測(cè)試效果的一些相關(guān)事項(xiàng)。第三部分“測(cè)試設(shè)計(jì)”是本書的重點(diǎn)，大部分內(nèi)容為詳細(xì)列舉的各種各樣的可選測(cè)試，這一部分包括了第3、4、5、6、7、8章。第四部分是“測(cè)試實(shí)施”，講述如何最好地執(zhí)行這些測(cè)試，即由誰來實(shí)際做這些工作、需要使用什么工具以及以什么順序執(zhí)行測(cè)試（排列測(cè)試優(yōu)先級(jí)），這部分包括第9章和第10章。在全書的最后，還附有豐富的附錄，提供了大量的背景知識(shí)。本書使用了最新的材料，書中所列各種測(cè)試方法都有實(shí)際的步驟及具體的項(xiàng)目，因而操作性較強(qiáng)，是一本不可多得的好書。本書適合專業(yè)的網(wǎng)站安全評(píng)估人員閱讀，對(duì)于各公司的CIO、系統(tǒng)管理員以及廣大的網(wǎng)絡(luò)技術(shù)研究者也很有參考價(jià)值。計(jì)劃安全測(cè)試的效果：策略、測(cè)試團(tuán)隊(duì)以及工具如何定義項(xiàng)目的范圍測(cè)試網(wǎng)絡(luò)安全和系統(tǒng)軟件的配置檢查Web應(yīng)用的安全性漏洞評(píng)估一個(gè)組織如何有效防范那些使用社會(huì)工程、垃圾搜尋、內(nèi)部同謀以及物理破壞方式的攻擊有關(guān)對(duì)那些用來混淆入侵者的設(shè)計(jì)進(jìn)行測(cè)試的獨(dú)特挑戰(zhàn) 使用風(fēng)險(xiǎn)分析來關(guān)注對(duì)組織具有最大威脅的領(lǐng)域的測(cè)試效果。

作者簡(jiǎn)介

暫缺《Web安全測(cè)試》作者簡(jiǎn)介

圖書目錄

第一部分本書概述
第1章概述
1.1 本書的目的
1.2 本書的測(cè)試方法
1.3 本書的組織
1.4 本書所用的術(shù)語
1.4.1 黑客、破解者、腳本玩家及心懷不滿的內(nèi)部人員
1.4.2 測(cè)試詞匯
1.5 本書的讀者對(duì)象
1.6 小結(jié)
第二部分計(jì)劃測(cè)試效果
第2章測(cè)試計(jì)劃
2.1 需求
2.1.1 澄清要求
2.1.2 安全策略
2.2 測(cè)試計(jì)劃的結(jié)構(gòu)
2.2.1 測(cè)試計(jì)劃標(biāo)識(shí)
2.2.2 介紹
2.2.3 項(xiàng)目范圍
2.2.4 變動(dòng)控制過程
2.2.5 待測(cè)的特性
2.2.6 不測(cè)的特性
2.2.7 方法
2.2.8 通過/未通過標(biāo)準(zhǔn)
2.2.9 暫停標(biāo)準(zhǔn)和重置要求
2.2.10 測(cè)試交付物
2.2.11 環(huán)境需要
2.2.12 配置管理
2.2.13 責(zé)任
2.2.14 提供人員和培訓(xùn)需要
2.2.15 進(jìn)度
2.2.16 項(xiàng)目結(jié)束
2.2.17 預(yù)計(jì)風(fēng)險(xiǎn)和應(yīng)急措施
2.2.18 情況
2.2.19 假設(shè)
2.2.20 約束和依賴
2.2.21 簡(jiǎn)寫和定義
2.2.22 引用
2.2.23 批準(zhǔn)
2.3 主測(cè)試計(jì)劃
2.4 小結(jié)
第三部分測(cè)試設(shè)計(jì)
第3章網(wǎng)絡(luò)安全
3.1 界定方法
3.2 界定樣例
3.2.1 旅館連鎖店
3.2.2 家具制造廠
3.2.3 會(huì)計(jì)公司
3.2.4 搜索引擎
3.2.5 測(cè)試實(shí)驗(yàn)室
3.2.6 暫停標(biāo)準(zhǔn)
3.3 設(shè)備清單
3.4 網(wǎng)絡(luò)拓?fù)?nbsp;
3.5 確認(rèn)網(wǎng)絡(luò)設(shè)計(jì)
3.5.1 網(wǎng)絡(luò)設(shè)計(jì)修訂
3.5.2 網(wǎng)絡(luò)設(shè)計(jì)檢驗(yàn)
3.6 核對(duì)設(shè)備清單
3.6.1 物理位置
3.6.2 未授權(quán)的設(shè)備
3.6.3 網(wǎng)絡(luò)地址
3.7 核對(duì)網(wǎng)絡(luò)拓?fù)?br />3.7.1 網(wǎng)絡(luò)連接
3.7.2 設(shè)備可訪問性
3.8 補(bǔ)充的網(wǎng)絡(luò)安全
3.8.1 網(wǎng)絡(luò)地址破壞
3.8.2 安全的LAN通信
3.8.3 無線網(wǎng)段
3.8.4 DoS攻擊
3.9 小結(jié)
第4章系統(tǒng)軟件安全
4.1 安全認(rèn)證
4.2 補(bǔ)丁
4.3 強(qiáng)化
4.4 屏蔽
4.5 服務(wù)
4.6 目錄和文件
4.7 用戶ID與密碼
4.7.1 手工猜測(cè)用戶ID和密碼
4.7.2 自動(dòng)猜測(cè)用戶ID和密碼
4.7.3 經(jīng)由社會(huì)工程獲得信息
4.7.4 心懷不滿的雇員策劃違法行為
4.8 用戶組
4.9 小結(jié)
第5章客戶端應(yīng)用程序安全
5.1 應(yīng)用程序攻擊點(diǎn)
5.2 客戶端識(shí)別和驗(yàn)證
5.2.1 基于用戶知道的信息：knows-something方法
5.2.2 基于用戶擁有的東西：has-something方法
5.2.3 基于用戶是什么的特性：生物測(cè)定學(xué)方法
5.3 用戶許可
5.3.1 功能限制
5.3.2 數(shù)據(jù)限制
5.3.3 功能和數(shù)據(jù)交叉限制
5.4 測(cè)試非法導(dǎo)航
5.4.1 HTTP報(bào)頭分析
5.4.2 HTTP報(bào)頭期滿
5.4.3 客戶端應(yīng)用程序代碼
5.4.4 Session ID
5.4.5 導(dǎo)航工具
5.5 客戶端數(shù)據(jù)
5.5.1 cookie
5.5.2 hidden字段
5.5.3 URL
5.5.4 本地?cái)?shù)據(jù)文件
5.5.5 Windows注冊(cè)表
5.6 安全的客戶端傳輸
5.6.1 數(shù)字證書
5.6.2 加密強(qiáng)度
5.6.3 混合加密和未加密內(nèi)容
5.6.4 避免加密瓶頸
5.7 移動(dòng)式應(yīng)用程序代碼
5.7.1 ActiveX控件
5.7.2 Java applet
5.7.3 客戶端腳本
5.7.4 探測(cè)特洛伊木馬移動(dòng)式代碼
5.8 客戶端安全
5.8.1 防火墻
5.8.2 瀏覽器安全設(shè)置
5.8.3 客戶端自適應(yīng)代碼
5.8.4 客戶端嗅探
5.9 小結(jié)
第6章服務(wù)器端應(yīng)用程序安全
6.1 CGI
6.1.1 語言選擇
6.1.2 CGI與輸入數(shù)據(jù)
6.1.3 許可和目錄
6.1.4 可擴(kuò)充性
6.2 第三方CGI腳本
6.3 服務(wù)器端包含
6.4 動(dòng)態(tài)代碼
6.4.1 查看模板
6.4.2 單點(diǎn)失敗
6.4.3 系統(tǒng)命令
6.4.4 示范腳本
6.4.5 有用的錯(cuò)誤消息
6.5 應(yīng)用程序代碼
6.5.1 可編譯源代碼
6.5.2 不可編譯的源代碼
6.5.3 版權(quán)
6.5.4 有用的錯(cuò)誤消息
6.5.5 舊版本
6.6 輸入數(shù)據(jù)
6.6.1 無效數(shù)據(jù)類型
6.6.2 無效范圍
6.6.3 緩沖區(qū)溢出
6.6.4 擴(kuò)展符
6.7 服務(wù)器端數(shù)據(jù)
6.7.1 數(shù)據(jù)文件名
6.7.2 數(shù)據(jù)絆網(wǎng)
6.7.3 數(shù)據(jù)保險(xiǎn)箱
6.7.4 WORM
6.7.5 數(shù)據(jù)加密
6.7.6 數(shù)據(jù)偽裝
6.7.7 數(shù)據(jù)安全島
6.7.8 分布式的拷貝
6.7.9 碎片數(shù)據(jù)
6.7.10 由數(shù)據(jù)庫管理系統(tǒng)加強(qiáng)的約束
6.7.11 過濾的索引
6.8 應(yīng)用程序級(jí)入侵者偵查
6.9 小結(jié)
第7章潛在的攻擊：防范很少考慮的安全威脅
7.1 打擊社交工程
7.1.1 通過電話
7.1.2 通過電子郵件
7.1.3 通過額外的信件
7.1.4 欺騙個(gè)人
7.2 處理Dumpster Diver
7.2.1 對(duì)紙張的合適處理
7.2.2 清理頭腦風(fēng)暴會(huì)議之后的遺留信息
7.2.3 正確處置電子硬件設(shè)備
7.3 提防內(nèi)部同謀
7.3.1 預(yù)防措施和威懾手段
7.3.2 探測(cè)措施
7.3.3 補(bǔ)救和檢舉措施
7.4 防止物理攻擊
7.4.1 設(shè)備的安全保護(hù)
7.4.2 硬件的安全保護(hù)
7.4.3 軟件的安全保護(hù)
7.4.4 數(shù)據(jù)的安全保護(hù)
7.5 對(duì)自然災(zāi)難的預(yù)防
7.6 防止惡意破壞
7.7 小結(jié)
第8章入侵者混淆、探測(cè)和響應(yīng)
8.1 入侵者混淆
8.1.1 動(dòng)態(tài)防護(hù)
8.1.2 欺騙性防護(hù)
8.1.3 honey pot
8.1.4 侵入混淆的評(píng)價(jià)
8.2 侵入探測(cè)
8.2.1 侵入探測(cè)系統(tǒng)
8.2.2 審計(jì)跟蹤
8.2.3 絆網(wǎng)與校驗(yàn)和
8.2.4 有害軟件
8.2.5 監(jiān)控
8.3 侵入響應(yīng)
8.3.1 侵入確認(rèn)
8.3.2 破壞遏制
8.3.3 破壞評(píng)估和法律調(diào)查
8.3.4 破壞控制和恢復(fù)
8.3.5 系統(tǒng)搶救和恢復(fù)
8.3.6 通知
8.3.7 起訴和反攻擊
8.3.8 策略檢查
8.4 小結(jié)
第四部分測(cè)試實(shí)施
第9章評(píng)估和滲透選擇
9.1 人員選擇
9.1.1 自己做
9.1.2 請(qǐng)專業(yè)公司做
9.1.3 自己做和請(qǐng)專業(yè)公司做結(jié)合的測(cè)試方法
9.2 測(cè)試工具
9.2.1 人工方法
9.2.2 自動(dòng)方法
9.2.3 工具評(píng)價(jià)
9.3 小結(jié)
第10章風(fēng)險(xiǎn)分析
10.1 重用
10.1.1 資產(chǎn)審核
10.1.2 漏洞樹和攻擊樹
10.1.3 差距分析
10.2 測(cè)試優(yōu)先級(jí)
10.2.1 設(shè)備清單
10.2.2 威脅
10.2.3 業(yè)務(wù)影響
10.2.4 風(fēng)險(xiǎn)可能性
10.2.5 計(jì)算相對(duì)危險(xiǎn)程度
10.2.6 標(biāo)識(shí)和指定候選測(cè)試
10.2.7 優(yōu)先級(jí)修改
10.2.8 測(cè)試時(shí)間表
10.2.9 FMECA
10.3 小結(jié)
第五部分附錄
附錄A 網(wǎng)絡(luò)協(xié)議、地址和設(shè)備概述
附錄B SANS評(píng)出的前20種關(guān)鍵的Internet安全漏洞
附錄C 可交付的測(cè)試模板
附錄D 其他資源