VIP会员
内容简介
随着软件安全性问题变得越来越关键,传统的仅由组织内的少数安全专家负责安全的模式正受到越来越多的挑战。模糊测试是一种能够降低安全性测试门槛的方法,它通过高度自动化的手段让组织的开发和测试团队都能参与到安全性测试中,并能够通过启发式等方法不断积累安全测试的经验,帮助组织建立更有效的面向安全性的开发流程。本书是一本系统性描述模糊测试的专著,介绍了主要操作系统和主流应用类型的模糊测试方法,系统地描述了方法和工具,并使用实际案例帮助读者建立直观的认识。无论读者是否已有一定的安全性测试经验,本书都能够让你立即获得收益。
目录
译者序 V
前言 IX
原书序 XI
致谢 XV
关于作者 XVII
第一部分 基础知识
第1章 安全漏洞发现方法学
1.1 白盒测试
1.2 黑盒测试
1.3 灰盒测试
1.4 小结
第2章 什么是模糊测试
2.1 模糊测试的定义
2.2 模糊测试的历史
2.3 模糊测试各阶段
2.4 模糊测试的局限性和期望
2.5 小结
第3章 模糊测试方法与模糊测试器 类型
3.1 模糊测试方法
3.2 模糊测试器类型
3.3 小结
第4章 数据表示和分析
4.1 什么是协议
4.2 协议中的字段
4.3 简单文本协议(PLAIN TEXT PROTOCOLS)
4.4 二进制协议
4.5 网络协议
4.6 文件格式
4.7 常用协议元素
4.8 小结
第5章 有效模糊测试的需求
5.1 可重现性与文档
5.2 可重用性
5.3 过程状态和过程深度
5.4 跟踪、代码覆盖和度量
5.5 错误检测
5.6 资源约束
5.7 小结
第二部分 目标与自动化
第6章 自动化与数据生成
6.1 自动化的价值
6.2 有用的工具和库
6.3 编程语言的选择
6.4 数据生成与模糊试探值(FUZZ HEURISTICS)
6.5 小结
第7章 环境变量与参数模糊测试
7.1 本地模糊测试介绍
7.2 本地模糊测试原则
7.3 寻找测试目标
7.4 本地模糊测试方法
7.5 枚举环境变量
7.6 自动化的环境变量模糊测试
7.7 检测问题
7.8 小结
第8章 自动化的环境变量与参数模糊测试
8.1 IFUZZ本地模糊测试器的功能
8.2 开发IFUZZ工具
8.3 IFUZZ使用的编程语言
8.4 案例研究
8.5 优点与改进
8.6 小结
第9章 WEB应用与服务器模糊测试
9.1 什么是WEB应用模糊测试
9.2 测试目标
9.3 测试方法
9.4 漏洞
9.5 异常检测
9.6 小结
第10章 WEB应用和服务器的自动化模糊测试
10.1 WEB应用模糊测试器
10.2 WEBFUZZ的特性
10.3 必备的背景信息
10.4 开发WEBFUZZ
10.5 案例研究
10.6 优点与可能的改进
10.7 小结
第11章 文件格式模糊测试
11.1 测试目标
11.2 测试方法
11.3 测试输入
11.4 安全漏洞
11.5 检测错误
11.6 小结
第12章 UNIX平台上的文件格式自动化模糊测试
12.1 NOTSPIKEFILE和SPIKEFILE
12.2 开发过程
12.3 有意义的代码片段
12.4 僵尸进程(ZOMBIE PROCESS)
12.5 使用注意事项
12.6 案例研究:REALPLAYER REALPIX格式字符串漏洞
12.7 开发语言
12.8 小结
第13章 WINDOWS平台上的文件格式自动化模糊测试
13.1 WINDOWS文件格式漏洞
13.2 FILEFUZZ工具的功能
13.3 的背景信息
13.4 开发FILEFUZZ工具
13.5 案例研究
13.6 优势和提升空间
13.7 小结
第14章 网络协议的模糊测试
14.1 什么是网络协议的模糊测试
14.2 选择目标应用
14.3 测试方法
14.4 错误检测
14.5 小结
第15章 UNIX平台上的自动化网络协议模糊测试
15.1 使用SPIKE进行模糊测试
15.2 SPIKE必要知识
15.3 基于块的协议模型
15.4 其他的SPIKE特性
15.5 编写SPIKE NMAP模糊测试器脚本
15.6 小结
第16章 WINDOWS平台上网络协议的模糊测试
16.1 特性
16.2 必备的背景知识
16.3 开发
16.4 案例研究
16.5 优势与可改进空间
16.6 小结
第17章 WEB浏览器的模糊测试
17.1 什么是WEB浏览器模糊测试
17.2 目标
17.3 方法
17.4 漏洞
17.5 检测
17.6 小结
第18章 WEB浏览器的自动化模糊测试
18.1 组件对象模型背景
18.2 开发模糊测试器
18.3 小结
第19章 内存模糊测试
19.1 为什么需要内存模糊测试?