發表於2024-12-18
《Web安全測試》將幫助你:
獲取、安裝和配置有用的——且免費的——安全測試工具
理解你的應用如何與用戶通信,這樣你就可以在測試中更好地模擬攻擊
從許多不同的模擬常見攻擊(比如SQL注入、跨站式腳本和操縱隱藏錶單域)的方法中進行選擇
作為自動化測試的齣發點,通過使用秘訣中的腳奉和例子,使你的測試可重復
不用再擔心午夜來電話告訴你站點被破壞瞭。通過《Web安全測試》和示例中所用的免費工具,你可以將安全因素加入到你的測試套裝中,從而得以睡個安穩覺。
(1)獲取、安裝和配置有用且免費的安全測試工具。
(2)理解你的應用如何與用戶通信,這樣你就可以在測試中更好地模擬攻擊。
(3)從許多不同的模擬常見攻擊(比如SQL注入,跨站式腳本和操縱隱藏錶單域)的方法中進行選擇。
(4)作為自動化測試的齣發點,通過使用秘訣中的腳本和例子,使你的測試可重復。
在你對Web應用所執行的測試中,安全測試可能是zui重要的,但它卻常常是zui容易被忽略的。本書中的秘訣演示瞭開發和測試人員在進行單元測試、迴歸測試或探索性測試的同時,如何去檢查zui常見的Web安全問題。與即興的安全評估不同的是,這些秘訣是可重復的、簡潔的、係統的——可以完美地集成到你的常規測試套裝中。
本書中的秘訣所覆蓋的基礎知識包括瞭從觀察客戶端和服務器之間的消息到使用腳本完成登錄並執行Web應用功能的多階段測試。在本書的最後,你將能夠建立精確定位到Ajax函數的測試,以及適用於常見懷疑對象(跨站式腳本和注入攻擊)的大型多級測試。
《Web安全測試》將幫助你:
·獲取、安裝和配置有用的——且免費的——安全測試工具
·理解你的應用如何與用戶通信,這樣你就可以在測試中更好地模擬攻擊
·從許多不同的模擬常見攻擊(比如SQL注入、跨站式腳本和操縱隱藏錶單域)的方法中進行選擇
·作為自動化測試的齣發點,通過使用秘訣中的腳本和例子,使你的測試可重復
不用再擔心午夜來電話告訴你站點被破壞瞭。通過本書和示例中所用的免費工具,你可以將安全因素加入到你的測試套裝中,從而得以睡個安穩覺。
Paco Hope,是Cigital公司的一名技術經理,《Mastering FreeBsD and 0penBsDsecurity》 (由O’Reilly齣版)的閤著者之一。他也發錶過有關誤用、濫用案例和PKI的文章。他曾被邀請到會議就軟件安全需求、Web應用安全和嵌入式係統安全等話題發錶演講。在Cigital,他曾擔任MasterCard Internationa!在安全策略方麵的主題專傢,而且曾協助一傢世界500強的服務業公司編寫軟件安全策略。他也為軟件開發和測試人員提供軟件安全基礎方麵的培訓。他還曾為博彩業和移動通信行業中的幾傢公司提齣過軟件安全方麵的建議。Paco曾在威廉瑪麗學院主修計算機科學和英語,並從弗吉尼亞大學獲得計算機科學方麵的理學碩士學位。
Ben Waltller,是Cigital公司的一名顧問,Edit C00kies工具的開發者之一。他同時參與標準質量保證和軟件安全方麵的工作。他日復一日地設計和執行測試一一因此他理解忙碌的QA領域對簡單秘訣的需求。他也曾對開放式Web應用程序安全項目(0WAsP)的成員就w麯應用測試工具發錶過演講。
“貫穿整本書的精彩的真實示例,使理論生動起來,並使攻擊引人入勝。”
——Lee Copeland.StarEast和StarWest測試會議的議程主席
“最後,這是一本供測試人員使用的普通意義上的手冊,它講授安全測試的機製。與其秘訣使用方法不相符的是,這本書實際上武裝瞭測試人員,使他們能夠找齣甚至連某些著名的安全工具也無法發現的漏洞。”
——MattFisher,Piscis有限責任公司的創始人和CEO
序 1
前言 3
第1章 緒論 13
1.1 什麼是安全測試 13
1.2 什麼是Web應用 17
1.3 Web應用基礎 21
1.4 Web應用安全測試 25
1.5 方法纔是重點 26
第2章 安裝免費工具 29
2.1 安裝Firefox 29
2.2 安裝Firefox擴展 30
2.3 安裝Firebug 31
2.4 安裝OWASP的WebScarab 32
2.5 在Windows上安裝Perl及其軟件包 33
2.6 在Linux, Unix或OS X上安裝Perl和使用CPAN 34
2.7 安裝CAL9000 35
2.8 安裝ViewState Decoder 36
2.9 安裝cURL 36
2.10 安裝Pornzilla 37
2.11 安裝Cygwin 38
2.12 安裝Nikto 2 39
2.13 安裝Burp Suite 40
2.14 安裝Apache HTTP Server 41
第3章 基本觀察 43
3.1 查看網頁的HTML源代碼 44
3.2 查看源代碼,高級功能 45
3.3 使用Firebug觀察實時的請求頭 48
3.4 使用WebScarab觀察實時的POST數據 52
3.5 查看隱藏錶單域 55
3.6 使用TamperData觀察實時的響應頭 56
3.7 高亮顯示JavaScript和注釋 59
3.8 檢測JavaScript事件 60
3.9 修改特定的元素屬性 61
3.10 動態跟蹤元素屬性 63
3.11 結論 65
第4章 麵嚮Web的數據編碼 66
4.1 辨彆二進製數據錶示 67
4.2 使用Base-64 69
4.3 在網頁中轉換Base-36數字 71
4.4 在Perl中使用Base-36 71
4.5 使用以URL方式編碼的數據 72
4.6 使用HTML實體數據 74
4.7 計算散列值 76
4.8 辨彆時間格式 78
4.9 以編程方式對時間值進行編碼 80
4.10 解碼ASP.NET的視圖狀態 81
4.11 解碼多重編碼 83
第5章 篡改輸入 85
5.1 截獲和修改POST請求 86
5.2 繞過輸入限製 89
5.3 篡改URL 90
5.4 自動篡改URL 93
5.5 測試對URL長度的處理 94
5.6 編輯Cookie 96
5.7 僞造瀏覽器頭信息 99
5.8 上傳帶有惡意文件名的文件 101
5.9 上傳大文件 104
5.10 上傳惡意XML實體文件 105
5.11 上傳惡意XML結構 107
5.12 上傳惡意ZIP文件 109
5.13 上傳樣例病毒文件 110
5.14 繞過用戶界麵的限製 111
第6章 自動化批量掃描 114
6.1 使用WebScarab爬行網站 115
6.2 將爬行結果轉換為清單 117
6.3 減少要測試的URL 120
6.4 使用電子錶格程序來精簡列錶 120
6.5 使用LWP對網站做鏡像 121
6.6 使用wget對網站做鏡像 123
6.7 使用wget對特定的清單做鏡像 124
6.8 使用Nikto掃描網站 125
6.9 理解Nikto的輸齣結果 127
6.10 使用Nikto掃描HTTPS站點 128
6.11 使用帶身份驗證的Nikto 129
6.12 在特定起始點啓動Nikto 130
6.13 在Nikto中使用特定的會話Cookie 131
6.14 使用WSFuzzer測試Web服務 132
6.15 理解WSFuzzer的輸齣結果 134
第7章 使用cURL實現特定任務的自動化 137
7.1 使用cURL獲取頁麵 138
7.2 獲取URL的許多變體 139
7.3 自動跟蹤重定嚮 140
7.4 使用cURL檢查跨站式腳本 141
7.5 使用cURL檢查目錄遍曆 144
7.6 冒充特定類型的網頁瀏覽器或設備 147
7.7 以交互方式冒充另一種設備 149
7.8 使用cURL模仿搜索引擎 151
7.9 通過假造Referer頭信息來僞造工作流程 152
7.10 僅獲取HTTP頭 153
7.11 使用cURL發送POST請求 154
7.12 保持會話狀態 156
7.13 操縱Cookie 157
7.14 使用cURL上傳文件 158
7.15 建立多級測試用例 159
7.16 結論 164
第8章 使用LibWWWPerl實現自動化 166
8.1 編寫簡單的Perl腳本來獲取頁麵 167
8.2 以編程方式更改參數 169
8.3 使用POST模仿錶單輸入 170
8.4 捕獲和保存Cookie 172
8.5 檢查會話過期 173
8.6 測試會話固定 175
8.7 發送惡意Cookie值 177
8.8 上傳惡意文件內容 179
8.9 上傳帶有惡意名稱的文件 181
8.10 上傳病毒到應用 182
8.11 使用Perl解析接收到的值 184
8.12 以編程方式來編輯頁麵 186
8.13 使用綫程化提高性能 189
第9章 查找設計缺陷 191
9.1 繞過必需的導航 192
9.2 嘗試特權操作 194
9.3 濫用密碼恢復 195
9.4 濫用可預測的標識符 197
9.5 預測憑證 199
9.6 找齣應用中的隨機數 200
9.7 測試隨機數 202
9.8 濫用可重復性 204
9.9 濫用高負載操作 206
9.10 濫用限製性的功能 208
9.11 濫用競爭條件 209
第10章 攻擊AJAX 211
10.1 觀察實時的AJAX請求 213
10.2 識彆應用中的JavaScript 214
10.3 從AJAX活動迴溯到源代碼 215
10.4 截獲和修改AJAX請求 216
10.5 截獲和修改服務器響應 218
10.6 使用注入數據破壞AJAX 220
10.7 使用注入XML破壞AJAX 222
10.8 使用注入JSON破壞AJAX 223
10.9 破壞客戶端狀態 224
10.10 檢查跨域訪問 226
10.11 通過JSON劫持來讀取私有數據 227
第11章 操縱會話 229
11.1 在Cookie中查找會話標識符 230
11.2 在請求中查找會話標識符 232
11.3 查找Authentication頭 233
11.4 分析會話ID過期 235
11.5 使用Burp分析會話標識符 239
11.6 使用WebScarab分析會話隨機性 240
11.7 更改會話以逃避限製 245
11.8 假扮其他用戶 247
11.9 固定會話 248
11.10 測試跨站請求僞造 249
第12章 多層麵的測試 251
12.1 使用XSS竊取Cookie 251
12.2 使用XSS創建覆蓋 253
12.3 使用XSS産生HTTP請求 255
12.4 以交互方式嘗試基於DOM的XSS 256
12.5 繞過字段長度限製(XSS) 258
12.6 以交互方式嘗試跨站式跟蹤 259
12.7 修改Host頭 261
12.8 暴力猜測用戶名和密碼 263
12.9 以交互方式嘗試PHP包含文件注入 265
12.10 製作解壓縮炸彈 266
12.11 以交互方式嘗試命令注入 268
12.12 係統地嘗試命令注入 270
12.13 以交互方式嘗試XPath注入 273
12.14 以交互方式嘗試服務器端包含(SSI)注入 275
12.15 係統地嘗試服務器端包含(SSI)注入 276
12.16 以交互方式嘗試LDAP注入 278
12.17 以交互方式嘗試日誌注入 280
Web應用遭受著格外多的安全攻擊。其原因在於,網站及在網站上運行的應用在某種意義上是所有公司和組織的虛擬正門。Web自1993年以來的發展令人瞠目結舌,就其被廣泛采用的速度而言,甚至超過瞭電視和電力技術。
Web應用在軟件開發中所扮演的角色不斷成長並且越來越重要。事實上,評論傢日前稱我們已經進入瞭Web 3.0時代。問題在於,安全性確實沒能跟上這種發展步伐。目前,我們在加固Web 1.0應用的安全方麵仍有很多的問題,以緻於還沒有開始加固Web 2.0的安全,更彆提Web 3.0瞭。
在繼續之前,我有一些話不吐不快。Web應用是很重要而且正在不斷發展的一類軟件,但它們並不是唯一的軟件類型!事實上,考慮到遺留應用,嵌入式設備以及世界上的其他代碼,我相信Web應用隻占到所有軟件的一小部分。因此,當世人將所有對軟件安全的注意力全部傾注在Web應用上時,我感到擔憂。有大量其他類型的重要軟件並不依賴於Web。這就是我自稱是軟件安全人員而不是Web應用安全人員的原因。
無論如何,Web應用安全和軟件安全確實存在許多共同的問題和缺陷(這一點也不奇怪,因為前者是後者的子集)。一個共同的問題是將安全作為一項功能,或者某種“東西”。安全並不是某種“東西”,它是係統的一項屬性。這意味著再多的身份驗證技術、神奇的加密技術或者麵嚮服務架構(SOA)Web服務安全API都無法自動地解決安全問題。事實上,與任何其他方麵相比,安全與測試及保障都有著更多的關聯。
打開這本書,哦,我們確實需要一種有效的Web應用安全測試方法麼?要知道,許多由安全專傢為Web應用測試所設計的“測試”都不具有任何測試嚴密性。原來測試本身就是一門學科,背後有整套的學問。Paco和Ben帶給我們的是對測試綫索的深入瞭解。這真是一對珍貴的組閤。
所有稱職的測試人員都理解,關於測試的一項關鍵要素是:測試結果必須能夠用於指導行動。差的測試結果會給齣像“bigjavaglob.java文件中存在XSS問題”這樣含糊的報告。開發人員怎麼會知道如何去修復這個問題呢?這裏缺少的是適當地說明XSS是什麼(當然,它指的是跨站式腳本),指齣在成韆上萬行代碼的文件中問題可能齣現的位置,以及如何做纔能修復它。本書中包含瞭大量技術信息,足以供像樣的測試人員嚮真正起作用的開發人員報告可用於指導行動的結果。
但願本書中的內容不僅能夠被安全人員采用,而且也能夠被Web應用的測試人員所采用。事實上,質量保證(QA)人員會高興地看到,本書正好麵嚮測試人員,書中采用瞭迴歸測試、覆蓋率以及單元測試等術語。以我的經驗來看,就測試而言,測試人員做得要比安全人員好得多。使用得當的話,本書可以將安全人員改造成更優秀的測試人員,將測試人員改造成更優秀的安全人員。
本書的另一重要特點在於,它明確地將重點放在工具和自動化上。與現代安全人員一樣,現代測試人員也使用工具。本書包含瞭大量基於實際工具的真實例子,其中許多工具都可以從網上免費下載。事實上,本書適用於指導正確的工具使用方法,因為書中描述的許多開源工具都沒有自帶內置的手冊或入門指導。我喜歡實踐性的資料,而這本書在實際動手方麵做到瞭極緻。
一種過度樂觀的軟件開發方法必然會創造齣令人吃驚的東西,但是從安全角度而言,它同樣也會使我們陷入睏境。簡單地說,我們會忽視去考慮自己的軟件在遭到故意和惡意攻擊時會發生什麼。攻擊者就在大門口,每天都在探查我們的Web應用。
Web安全測試 [Web Security Testing Cookbook] 下載 mobi pdf epub txt 電子書 格式 2024
Web安全測試 [Web Security Testing Cookbook] 下載 mobi epub pdf 電子書送貨上門很及時,東東滿意。
評分專業書,京東活動不錯,慢慢看
評分好好補一下安全方麵的東西
評分好多年前的東東
評分滿減的時候買的 希望會有點用
評分很不錯的一個東西,我非常喜歡
評分看著目錄不錯,買來學習下
評分書不錯,寫的很有意思,可以看
評分書不錯,寫的很有意思,可以看
Web安全測試 [Web Security Testing Cookbook] mobi epub pdf txt 電子書 格式下載 2024