商品簡介
這是一本針對安全測試的書籍,同時也是一本十分適合信息安全研究人員的優秀參考書。本書共20章,其中前3章討論了安全測試的基礎,包括如何從攻擊者的角度去思考測試方法,以及如何進行威脅建模和入口點查找。第4章至第19章則通過詳細的示例與代碼,分別深入地闡述了網絡流量和內存數據的操控方法,包括緩沖區溢出、格式化字符串、HTML腳本、XML、規范化、權限、拒絕服務、托管代碼、SQL注入和ActiveX再利用等安全漏洞追蹤方法,以及在二進制代碼條件下查找安全漏洞的逆向工程技術。第20章論述了合理報告安全漏洞的程序,并提出了一個負責的安全漏洞公開流程。最后,本書還提供了一個適于初學者的測試用例列表。
作者簡介
Tom Gallagher,微軟Office安全測試組負責人,擅長滲透測試、編寫安全測試工具和安全培訓。
目次
第1章 安全測試的一般方法
第2章 利用威脅模型進行安全測試
第3章 查找入口點
第4章 成為惡意的客戶端
第5章 成為惡意的服務器
第6章 欺騙
第7章 信息泄露
第8章 緩沖區溢出及堆棧/堆操縱
第9章 格式化字符串攻擊
第10章 HTML腳本攻擊
第11章 XML問題
第12章 規范化問題
第13章 查找弱權限
第14章 拒絕服務攻擊
第15章 托管代碼問題
第16章 SQL注入
第17章 觀察及逆向工程
第18章 ActiveX再利用攻擊
第19章 其他再利用攻擊
第20章 報告安全漏洞
附錄A 相關工具
附錄B 安全測試用例列表