✍ Scribed by 霍普(Paco Hope) / 沃尔瑟(Ben Waltber) 著; 傅鑫 译
No coin nor oath required. For personal study only.
书签已装载,
书签制作方法请找 [email protected]
完全免费
(若有印刷不清等问题也请发送相关邮件,会尽快更新的)
《Web安全测试》内容简介:在你对Web应用所执行的测试中,安全测试可能是最重要的,但它却常常是最容易被忽略的。《Web安全测试》中的秘诀演示了开发和测试人员在进行单元测试、回归测试或探索性测试的同时,如何去检查最常见的Web安全问题。与即兴的安全评估不同的是,这些秘诀是可重复的、简洁的、系统的——可以完美地集成到你的常规测试套装中。
《Web安全测试》中的秘诀所覆盖的基础知识包括了从观察客户端和服务器之间的消息到使用脚本完成登录并执行Web应用功能的多阶段测试。在《Web安全测试》的最后,你将能够建立精确定位到Ajax函数的测试,以及适用于常见怀疑对象(跨站式脚本和注入攻击)的大型多级测试。
封面
书名
版权
前言
目录
序
前言
第1章 绪论
1.1 什么是安全测试
1.2 什么是Web应用
1.3 Web应用基础
1.4 Web应用安全测试
1.5 方法才是重点
第2章 安装免费工具
2.1 安装Firefox
2.2 安装Firefox扩展
2.3 安装Firebug
2.4 安装OWASP的WebScarab
2.5 在Windows上安装Perl及其软件包
2.6 在Linux,Unix或OS X上安装Perl和使用CPAN
2.7 安装CAL9000
2.8 安装ViewState Decoder
2.9 安装cURL
2.10 安装Pornzilla
2.11 安装Cygwin
2.12 安装Nikto 2
2.13 安装Burp Suite
2.14 安装Apache HTTP Server
第3章 基本观察
3.1 查看网页的HTML源代码
3.2 查看源代码,高级功能
3.3 使用Firebug观察实时的请求头
3.4 使用WebScarab观察实时的POST数据
3.5 查看隐藏表单域
3.6 使用TamperData观察实时的响应头
3.7 高亮显示JavaScript和注释
3.8 检测JavaScript事件
3.9 修改特定的元素属性
3.10 动态跟踪元素属性
3.11 结论
第4章 面向Web的数据编码
4.1 辨别二进制数据表示
4.2 使用Base-64
4.3 在网页中转换Base-36数字
4.4 在Perl中使用Base-36
4.5 使用以URL方式编码的数据
4.6 使用HTML实体数据
4.7 计算散列值
4.8 辨别时间格式
4.9 以编程方式对时间值进行编码
4.10 解码ASP.NET的视图状态
4.11 解码多重编码
第5章 篡改输入
5.1 截获和修改POST请求
5.2 绕过输入限制
5.3 篡改URL
5.4 自动篡改URL
5.5 测试对URL长度的处理
5.6 编辑Cookie
5.7 伪造浏览器头信息
5.8 上传带有恶意文件名的文件
5.9 上传大文件
5.10 上传恶意XML实体文件
5.11 上传恶意XML结构
5.12 上传恶意ZIP文件
5.13 上传样例病毒文件
5.14 绕过用户界面的限制
第6章 自动化批量扫描
6.1 使用WebScarab爬行网站
6.2 将爬行结果转换为清单
6.3 减少要测试的URL
6.4 使用电子表格程序来精简列表
6.5 使用LWP对网站做镜像
6.6 使用wget对网站做镜像
6.7 使用wget对特定的清单做镜像
6.8 使用Nikto扫描网站
6.9 理解Nikto的输出结果
6.10 使用Nikto扫描HTTPS站点
6.11 使用带身份验证的Nikto
6.12 在特定起始点启动Nikto
6.13 在Nikto中使用特定的会话Cookie
6.14 使用WSFuzzer测试Web服务
6.15 理解WSFuzzer的输出结果
第7章 使用cURL实现特定任务的自动化
7.1 使用cURL获取页面
7.2 获取URL的许多变体
7.3 自动跟踪重定向
7.4 使用cURL检查跨站式脚本
7.5 使用cURL检查目录遍历
7.6 冒充特定类型的网页浏览器或设备
7.7 以交互方式冒充另一种设备
7.8 使用cURL模仿搜索引擎
7.9 通过假造Referer头信息来伪造工作流程
7.10 仅获取HTTP头
7.11 使用cURL发送POST请求
7.12 保持会话状态
7.13 操纵Cookie
7.14 使用cURL上传文件
7.15 建立多级测试用例
7.16 结论
第8章 使用LibWWWPerl实现自动化
8.1 编写简单的Perl脚本来获取页面
8.2 以编程方式更改参数
8.3 使用POST模仿表单输入
8.4 捕获和保存Cookie
8.5 检查会话过期
8.6 测试会话固定
8.7 发送恶意Cookie值
8.8 上传恶意文件内容
8.9 上传带有恶意名称的文件
8.10 上传病毒到应用
8.11 使用Perl解析接收到的值
8.12 以编程方式来编辑页面
8.13 使用线程化提高性能
第9章 查找设计缺陷
9.1 绕过必需的导航
9.2 尝试特权操作
9.3 滥用密码恢复
9.4 滥用可预测的标识符
9.5 预测凭证
9.6 找出应用中的随机数
9.7 测试随机数
9.8 滥用可重复性
9.9 滥用高负载操作
9.10 滥用限制性的功能
9.11 滥用竞争条件
第10章 攻击AJAX
10.1 观察实时的AJAX请求
10.2 识别应用中的JavaScript
10.3 从AJAX活动回溯到源代码
10.4 截获和修改AJAX请求
10.5 截获和修改服务器响应
10.6 使用注入数据破坏AJAX
10.7 使用注入XML破坏AJAX
10.8 使用注入JSON破坏AJAX
10.9 破坏客户端状态
10.10 检查跨域访问
10.11 通过JSON劫持来读取私有数据
第11章 操纵会话
11.1 在Cookie中查找会话标识符
11.2 在请求中查找会话标识符
11.3 查找Authentication头
11.4 分析会话ID过期
11.5 使用Burp分析会话标识符
11.6 使用WebScarab分析会话随机性
11.7 更改会话以逃避限制
11.8 假扮其他用户
11.9 固定会话
11.10 测试跨站请求伪造
第12章 多层面的测试
12.1 使用XSS窃取Cookie
12.2 使用XSS创建覆盖
12.3 使用XSS产生HTTP请求
12.4 以交互方式尝试基于DOM的XSS
12.5 绕过字段长度限制(XSS)
12.6 以交互方式尝试跨站式跟踪
12.7 修改Host头
12.8 暴力猜测用户名和密码
12.9 以交互方式尝试PHP包含文件注入
12.10 制作解压缩炸弹
12.11 以交互方式尝试命令注入
12.12 系统地尝试命令注入
12.13 以交互方式尝试XPath注入
12.14 以交互方式尝试服务器端包含(SSI)注入
12.15 系统地尝试服务器端包含(SSI)注入
12.16 以交互方式尝试LDAP注入
12.17 以交互方式尝试日志注入
封底
📜 SIMILAR VOLUMES
随着Web应用开发技术和应用水平的飞速发展,用户对Web系统的功能、性能、安全性、稳定性等提出了更高的要求。Web应用程序在发布之前必须进行深入全面的测试。本书从理论、技术、实战和工具4个方面深入详实地介绍Web应用程序测试全过程。理论篇包括软件测试基础和Web应用基础两个章节,重点介绍Web测试中所涉及的软件测试理论和技术,以及Web应用程序的原理、技术和特点。技术篇包括Web功能测试、Web用户界面测试、Web性能测试、Web安全性测试和Web兼容性测试5个章节,深入分析了Web测试的原理和技术,并以生产项目中的各类缺陷为案例,由浅入深地引导读者运用测试技术解决实际问题。实战篇以博客系统为
《模糊测试强制性安全漏洞发掘》主要内容:模糊测试的工作原理,模糊测试相比其他安全性测试方法的关键优势,模糊测试在查找网络协议,文件格式及Web应用安全漏洞中的技术现状等。演示了自动模糊工具的用法,并给出多个说明模糊测试强大效力的历史案例。
<p>《高等院校英语语言文学专业研究生系列教材》是我国首套英语语言文学专业研究生教材。该系列教材汇聚了全国英语语言文学专业各领域的百余位知名专家学者,旨在集各校学术之长,优势互补,形成合力,以推动研究生教材建设,使我国英语语言文学专业研究生的培养走上一个新台阶。</p> <p>本系列教材紧密结合研究生教学实际和需要,强调科学性、系统性、先进性和实用性,力求每本教材都能反映出该领域的新理论、新方法和新成果。该系列由50余种教材组成,内容涵盖语言学、语言教学、文学理论、原著选读等领域,教材内容翔实、规模宏大、体系科学、编排规范,堪称21世纪研究生教材建设的一大景观。</p>