Web安全测试
点击看大图基本信息
- 原书名: Testing Web Security:Assessing the Security of Web Sites and Applications
- 原出版社: John Wiley & Sons,Inc.
- 作者: (美)Steven Splaine
- 译者: 李昂 王梅蓉 金旭
- 丛书名: 网络与信息安全技术丛书
- 出版社:机械工业出版社
- ISBN:7111119088
- 上架时间:2003-6-5
- 出版日期:2003 年5月
- 开本:16开
- 页码:264
- 版次:1-1
- 所属分类:
计算机 > 安全 > 网络安全/防火墙/黑客
内容简介回到顶部↑
本书分为五个部分:第一部分提供了本书的概述并阐明了本书的主要框架。第二部分为“测试计划”,并涉及围绕着计划测试效果的一些相关事项。第三部分“测试设计”是本书的重点,大部分内容为详细列举的各种各样的可选测试,这一部分包括了第3、4、5、6、7、8章。第四部分是“测试实施”,讲述如何最好地执行这些测试,即由谁来实际做这些工作、需要使用什么工具以及以什么顺序执行测试(排列测试优先级),这部分包括第9章和第10章。在全书的最后,还附有丰富的附录,提供了大量的背景知识。
本书使用了最新的材料,书中所列各种测试方法都有实际的步骤及具体的项目,因而操作性较强,是一本不可多得的好书。本书适合专业的网站安全评估人员阅读,对于各公司的CIO、系统管理员以及广大的网络技术研究者也很有参考价值。
计划安全测试的效果:策略、测试团队以及工具
如何定义项目的范围
测试网络安全和系统软件的配置
检查Web应用的安全性漏洞
评估一个组织如何有效防范那些使用社会工程、垃圾搜寻、内部同谋以及物理破坏方式的攻击
有关对那些用来混淆入侵者的设计进行测试的独特挑战
使用风险分析来关注对组织具有最大威胁的领域的测试效果。
本书使用了最新的材料,书中所列各种测试方法都有实际的步骤及具体的项目,因而操作性较强,是一本不可多得的好书。本书适合专业的网站安全评估人员阅读,对于各公司的CIO、系统管理员以及广大的网络技术研究者也很有参考价值。
计划安全测试的效果:策略、测试团队以及工具
如何定义项目的范围
测试网络安全和系统软件的配置
检查Web应用的安全性漏洞
评估一个组织如何有效防范那些使用社会工程、垃圾搜寻、内部同谋以及物理破坏方式的攻击
有关对那些用来混淆入侵者的设计进行测试的独特挑战
使用风险分析来关注对组织具有最大威胁的领域的测试效果。
目录回到顶部↑
第一部分 本 书 概 述
第1章 概述 3
1.1 本书的目的 4
1.2 本书的测试方法 5
1.3 本书的组织 6
1.4 本书所用的术语 7
1.4.1 黑客、破解者、脚本玩家及心怀不满
的内部人员 7
1.4.2 测试词汇 8
1.5 本书的读者对象 10
1.6 小结 10
第二部分 计划测试效果
第2章 测试计划 13
2.1 需求 13
2.1.1 澄清要求 13
2.1.2 安全策略 14
2.2 测试计划的结构 15
2.2.1 测试计划标识 17
2.2.2 介绍 17
2.2.3 项目范围 17
第1章 概述 3
1.1 本书的目的 4
1.2 本书的测试方法 5
1.3 本书的组织 6
1.4 本书所用的术语 7
1.4.1 黑客、破解者、脚本玩家及心怀不满
的内部人员 7
1.4.2 测试词汇 8
1.5 本书的读者对象 10
1.6 小结 10
第二部分 计划测试效果
第2章 测试计划 13
2.1 需求 13
2.1.1 澄清要求 13
2.1.2 安全策略 14
2.2 测试计划的结构 15
2.2.1 测试计划标识 17
2.2.2 介绍 17
2.2.3 项目范围 17
译者序回到顶部↑
译 者 序
Internet已经成为人类所构建的最丰富多彩的虚拟世界,在世界各地,用户的数目正在飞速增长。而Web作为Internet上最主要的服务,已经成为万众瞩目的焦点和Internet的象征。几乎所有的政府、公司、机构,甚至是个人都建立了自己的Web站点。据报道,现在Web的内容正以每天两百万页的速度增加。随着Internet及Web一同发展起来的还有安全问题,每天都在发生的黑客入侵及篡改网页等问题越来越引起了人们的关注,因为随着Web内容的增加、应用程序功能的丰富和用户的普及,安全问题已经不容忽视。
很多公司的管理者甚至一些技术人员都认为只要有一个防火墙保护就能保证网络的安全。其实不然,尽管建立防火墙是必不可少的安全措施,但防火墙不是万能的,在某些情况下它也会失效,例如:在网站上运行的应用程序有缺陷、防火墙配置不当或有心怀不满的内部人员。还曾经有人说过:只要有足够的时间,任何网站都可以被攻破。不幸的是,现在需要测试安全漏洞的网站的数目远远多于那些有足够经验完成这样一种测试的安全专家的人数,这意味着很多网站及其应用程序往往没有经过充分的测试,或者根本没有进行过测试。
因此,对网站的安全进行全面的测试评估和规划部署是一件非常必要的工作。本书作者Steven Splaine是一位经验丰富的网络安全专家,在本书中,他通过很多例子和详细的检查列表向读者介绍了全面的安全测试方法。本书不同于那些泛泛而谈的图书,本书介绍的方法具有极强的可操作性,相信各位读者看完全书后也会有自己的体会。
本书共分五个部分:第一部分介绍本书的框架;第二部分介绍测试计划;第三部分是本书的重点,作者在此用了六章的篇幅详细列举各种各样的可选测试;第四部分为测试实施,告诉读者如何进行实际操作;第五部分为附录,提供附加的背景知识。
我们相信,本书不仅对系统管理员、安全测试人员会有很大的帮助,而且对于网站设计开发人员、各公司主管网络技术的经理也有较大参考价值。希望本书的翻译出版能为提高国内迅速发展的Web网站的安全水平做出一点贡献。
全书由李昂、王梅蓉、金旭、陈长春、郭龙永、王冶、李鹃君、常欣、李桦、时丁、李海涛、文静、李祥、刘海宁、丁镇兴等进行翻译,前导工作室全体工作人员共同完成了本书的翻译、录排、校对等工作。本书最后由宋涛统稿。由于时间仓促,且译者的水平有限,在翻译过程中难免会出现一些错误,请读者批评指正。
宋 涛
2003年1月
Internet已经成为人类所构建的最丰富多彩的虚拟世界,在世界各地,用户的数目正在飞速增长。而Web作为Internet上最主要的服务,已经成为万众瞩目的焦点和Internet的象征。几乎所有的政府、公司、机构,甚至是个人都建立了自己的Web站点。据报道,现在Web的内容正以每天两百万页的速度增加。随着Internet及Web一同发展起来的还有安全问题,每天都在发生的黑客入侵及篡改网页等问题越来越引起了人们的关注,因为随着Web内容的增加、应用程序功能的丰富和用户的普及,安全问题已经不容忽视。
很多公司的管理者甚至一些技术人员都认为只要有一个防火墙保护就能保证网络的安全。其实不然,尽管建立防火墙是必不可少的安全措施,但防火墙不是万能的,在某些情况下它也会失效,例如:在网站上运行的应用程序有缺陷、防火墙配置不当或有心怀不满的内部人员。还曾经有人说过:只要有足够的时间,任何网站都可以被攻破。不幸的是,现在需要测试安全漏洞的网站的数目远远多于那些有足够经验完成这样一种测试的安全专家的人数,这意味着很多网站及其应用程序往往没有经过充分的测试,或者根本没有进行过测试。
因此,对网站的安全进行全面的测试评估和规划部署是一件非常必要的工作。本书作者Steven Splaine是一位经验丰富的网络安全专家,在本书中,他通过很多例子和详细的检查列表向读者介绍了全面的安全测试方法。本书不同于那些泛泛而谈的图书,本书介绍的方法具有极强的可操作性,相信各位读者看完全书后也会有自己的体会。
本书共分五个部分:第一部分介绍本书的框架;第二部分介绍测试计划;第三部分是本书的重点,作者在此用了六章的篇幅详细列举各种各样的可选测试;第四部分为测试实施,告诉读者如何进行实际操作;第五部分为附录,提供附加的背景知识。
我们相信,本书不仅对系统管理员、安全测试人员会有很大的帮助,而且对于网站设计开发人员、各公司主管网络技术的经理也有较大参考价值。希望本书的翻译出版能为提高国内迅速发展的Web网站的安全水平做出一点贡献。
全书由李昂、王梅蓉、金旭、陈长春、郭龙永、王冶、李鹃君、常欣、李桦、时丁、李海涛、文静、李祥、刘海宁、丁镇兴等进行翻译,前导工作室全体工作人员共同完成了本书的翻译、录排、校对等工作。本书最后由宋涛统稿。由于时间仓促,且译者的水平有限,在翻译过程中难免会出现一些错误,请读者批评指正。
宋 涛
2003年1月
前言回到顶部↑
前 言
随着Internet的不断发展,越来越多的企业把他们充满宣传材料只起推广作用的站点逐步改造成了担负重要任务的网站。设计网站是为了获得新的利润和整合现有的系统。实现这些整体目标的人所面临的最严峻的挑战之一,就是确保这些新的店面免遭攻击和不当使用。
不幸的是,现在需要测试安全漏洞的网站数目远远多于那些有足够经验完成这种测试的安全专家的人数。这意味着很多网站及其应用程序往往没有经过充分的测试,或者根本没有进行过测试。实际上,这些企业在玩“黑客轮盘赌”的游戏,仅仅希望自己走运罢了。
没有足够的专家进行网站及其应用程序的安全测试,其中一个重要原因是缺少入门级的书。现在面市的图书不是面向高层的,就是面向底层的。前者偏重战略性,定位于高级管理人员和首席架构师,他们设计系统的高度实用性。而后者则极端技术化,定位于实现这些设计的有经验的开发人员和网络工程师。
本书是一本简明易懂、易于按步操作的书,任何初涉安全测试领域的人都可以轻松读懂。我的第一本书《The Web Testing Handbook》(与Stefan Jaskiel合著,2001)的读者会发现我在本书中保留了第一本书的列表格式。因为我发现这种列表格式是如此地广受欢迎,所以希望保留这种列表格式会使安全测试人员更容易确保开发人员和网络工程师实现一个系统,而这个系统恰恰能够满足用户和设计者所构想的明确的或暗含的安全目标。
Steven Splaine
随着Internet的不断发展,越来越多的企业把他们充满宣传材料只起推广作用的站点逐步改造成了担负重要任务的网站。设计网站是为了获得新的利润和整合现有的系统。实现这些整体目标的人所面临的最严峻的挑战之一,就是确保这些新的店面免遭攻击和不当使用。
不幸的是,现在需要测试安全漏洞的网站数目远远多于那些有足够经验完成这种测试的安全专家的人数。这意味着很多网站及其应用程序往往没有经过充分的测试,或者根本没有进行过测试。实际上,这些企业在玩“黑客轮盘赌”的游戏,仅仅希望自己走运罢了。
没有足够的专家进行网站及其应用程序的安全测试,其中一个重要原因是缺少入门级的书。现在面市的图书不是面向高层的,就是面向底层的。前者偏重战略性,定位于高级管理人员和首席架构师,他们设计系统的高度实用性。而后者则极端技术化,定位于实现这些设计的有经验的开发人员和网络工程师。
本书是一本简明易懂、易于按步操作的书,任何初涉安全测试领域的人都可以轻松读懂。我的第一本书《The Web Testing Handbook》(与Stefan Jaskiel合著,2001)的读者会发现我在本书中保留了第一本书的列表格式。因为我发现这种列表格式是如此地广受欢迎,所以希望保留这种列表格式会使安全测试人员更容易确保开发人员和网络工程师实现一个系统,而这个系统恰恰能够满足用户和设计者所构想的明确的或暗含的安全目标。
Steven Splaine
序言回到顶部↑
序
现在,越来越多的企业使用基于Internet或基于内联网的应用程序,人们逐渐意识到自己已经暴露在新的或渐增的系统质量风险中,尤其是在性能方面和安全方面存在隐忧。Steven Splaine的新书:《The Web Testing Handbook》提供给读者建议和技术来测试性能,并考虑其他很多重要的有关网站测试的问题,例如实用性。而在本书中,Steven关注的是最关键的问题—网站测试。
相当多的用户甚至于网站应用程序的测试人员都认为:要解决Web安全问题,仅需买个防火墙并接上各种连线就行了。在本书里,Steven认为这是“防火墙神话”,而我在自己的测试、咨询和培训工作中,曾见过相信这种神话的受害者。本书不仅有助于打破这种神话,而且也提供了可以采取的实用步骤,这些步骤可以使你在网络上发现并解决安全问题。客户端、服务器端、Internet、内联网、外部的黑客及其入侵方法、软件、硬件、网络和社会工程,这些内容都是本书要讨论的问题。如何进行一个渗透性测试?怎样评估每个潜在的安全漏洞的特有风险等级,并正确地测试它们?当面对一个现有的系统或创建一个新系统时,应如何监控发生的每件事情?而这一桩桩一件件的事情,每件都可能引发各式各样的麻烦。本书会成为我下一个网站测试项目的重要资源。如果你正在负责一个网站系统的安全或正在测试一个网站系统的安全性,我相信本书定会对你有所帮助。
Rex Black
Rex Black咨询公司(Bulverde, Texas)
现在,越来越多的企业使用基于Internet或基于内联网的应用程序,人们逐渐意识到自己已经暴露在新的或渐增的系统质量风险中,尤其是在性能方面和安全方面存在隐忧。Steven Splaine的新书:《The Web Testing Handbook》提供给读者建议和技术来测试性能,并考虑其他很多重要的有关网站测试的问题,例如实用性。而在本书中,Steven关注的是最关键的问题—网站测试。
相当多的用户甚至于网站应用程序的测试人员都认为:要解决Web安全问题,仅需买个防火墙并接上各种连线就行了。在本书里,Steven认为这是“防火墙神话”,而我在自己的测试、咨询和培训工作中,曾见过相信这种神话的受害者。本书不仅有助于打破这种神话,而且也提供了可以采取的实用步骤,这些步骤可以使你在网络上发现并解决安全问题。客户端、服务器端、Internet、内联网、外部的黑客及其入侵方法、软件、硬件、网络和社会工程,这些内容都是本书要讨论的问题。如何进行一个渗透性测试?怎样评估每个潜在的安全漏洞的特有风险等级,并正确地测试它们?当面对一个现有的系统或创建一个新系统时,应如何监控发生的每件事情?而这一桩桩一件件的事情,每件都可能引发各式各样的麻烦。本书会成为我下一个网站测试项目的重要资源。如果你正在负责一个网站系统的安全或正在测试一个网站系统的安全性,我相信本书定会对你有所帮助。
Rex Black
Rex Black咨询公司(Bulverde, Texas)
加载中...
