Web系統(tǒng)安全和滲透性測試基礎

前言

世界正經歷一場偉大的信息革命，信息成為一種重要的戰(zhàn)略資源。它改變著人們的生活方式和工作方式，形成新的社會形態(tài)。隨著我國社會信息化進程的不斷發(fā)展，計算機網(wǎng)絡及信息系統(tǒng)在政府機構、企事業(yè)單位及社會團體的工作中發(fā)揮著越來越重要的作用。然而，信息化水平的提高在帶來巨大發(fā)展機遇的同時也帶來了嚴峻的挑戰(zhàn)。由于信息系統(tǒng)是一個復雜巨系統(tǒng)，它存在著脆弱性，信息安全問題不斷暴露。信息安全關系到國家的經濟安全、政治安全、軍事安全和文化安全。信息安全已經成為維護國家安全和社會穩(wěn)定的一個重要因素。當前，社會對信息安全專業(yè)人員的需求逐年增加。發(fā)展信息安全技術與產業(yè)，關鍵是人才。培養(yǎng)信息安全領域的專業(yè)人才，已成為當務之急。高素質的信息安全人才隊伍是保障國家重點基礎網(wǎng)絡和重要系統(tǒng)安全的基石，是制定信息安全發(fā)展戰(zhàn)略規(guī)劃與政策并建設國家信息安全保障體系的骨干力量，是發(fā)展我國信息安全產業(yè)的排頭兵。目前我國的信息安全教育工作仍相對滯后，信息安全人才十分匱乏，社會需求與人才供給間還存在著很大差距。如何培養(yǎng)信息安全的專業(yè)人才，是我國目前面臨的重要問題。

內容概要

　　本書內容從淺入深，依次逐步展開。本書共分兩部分：第一部分是Web系統(tǒng)安全基礎，主要介紹了Web系統(tǒng)的基礎和Web系統(tǒng)安全的基礎；第二部分是Web系統(tǒng)滲透性測試基礎，主要講述了Web滲透測試的步驟、Web應用滲透性測試的框架以及如何撰寫Web滲透測試報告。另外，書中附錄部分介紹了一些常用的Web系統(tǒng)安全滲透性測試工具。　　本書是中國信息安全測評中心注冊信息安全專業(yè)人員（CISP）和注冊信息安全員（CISM）的正式教材，可作為高等院校信息安全類專業(yè)學生教材，亦可作為信息安全培訓教材和IT信息安全從業(yè)人員的參考書籍。

書籍目錄

第一部分 Web系統(tǒng)安全基礎　第1章 Web系統(tǒng)基礎　　1.1 Web概述　　　1.1.1 URL　　　1.1.2 超文本和超媒體　　1.2 Web系統(tǒng)的結構和組成　　　1.2.1 Web系統(tǒng)基本架構　　　1.2.2 Web工作原理　　　1.2.3 Web服務器　　　1.2.4 Web瀏覽器　　　1.2.5 Web技術概覽　　1.3 Web系統(tǒng)及相關技術介紹　　　1.3.1 HTTP　　　1.3.2 cookie　　　1.3.3 HTML　　　1.3.4 XML　　　1.3.5 SQL　　　1.3.6 動態(tài)網(wǎng)頁技術　　　1.3.7 Web服務　　　1.3.8 客戶端交互技術AJAX　　　1.3.9 Web2.0　第2章 Web系統(tǒng)安全基礎　　2.1 Web安全概述　　2.2 Web系統(tǒng)面對的威脅及對策　　　2.2.1 對保密性的威脅及對策　　　2.2.2 對完整性的威脅及對策　　　2.2.3 對可用性的威脅及對策　　　2.2.4 對可追究性的威脅及對策　　2.3 Web系統(tǒng)面對的威脅及對策(服務器、客戶端、通信)　　2.4 Web安全技術介紹　　　2.4.1 IPSEC　　　2.4.2 SST/TLS　　　2.4.3 SET協(xié)議　　2.5 Web系統(tǒng)安全問題來源與預防措施分析　　　2.5.1 Web安全問題來源分析　　　2.5.2 Web安全問題預防措施第二部分 Web系統(tǒng)滲透性測試基礎　第3章 滲透性測試介紹　　3.1 滲透性測試概述　　3.2 滲透性測試方法　　　3.2.1 階段Ⅰ：計劃和準備　　　3.2.2 階段Ⅱ：評估　　　3.2.3 階段Ⅲ：報告、清除和破壞測試過程產物　第4章 Web系統(tǒng)滲透性測試基礎　　4.1 Web系統(tǒng)滲透性測試　　　4.1.1 Web應用程序滲透測試的概念　　　4.1.2 漏洞的概念　　　4.1.3 Web測試方法的概念　　4.2 Web應用滲透性測試框架　　4.3 偵查分析　　　4.3.1 收集信息　　　4.3.2 分析應用　　4.4 輸入處理　　　4.4.1 數(shù)據(jù)有效性驗證測試　　　4.4.2 Web服務測試　　　4.4.3 AJAX測試　　4.5 訪問處理　　　4.5.1 鑒別測試　　　4.5.2 會話管理測試　　4.6 應用邏輯　　　4.6.1 業(yè)務邏輯　　　4.6.2 拒絕服務測試　第5章 撰寫測試報告附錄：Web系統(tǒng)安全滲透性測試工具參考文獻

章節(jié)摘錄

插圖：4．4．1．12．2堆溢出（1）概述這一測試中，我們將檢驗測試者是否能造成一個堆溢出，對內存片段進行攻擊。（2）問題描述“堆”是指用于存儲動態(tài)分配數(shù)據(jù)和全局變量的內存片段。堆中的每一個存儲塊都有包含著內存管理信息的標簽，用于指明邊界。當一個基于堆的緩沖區(qū)出現(xiàn)溢出時，這些標簽中的控制信息就會被覆蓋；在堆管理例程釋放該緩沖區(qū)時，由于內存地址被覆蓋將導致訪問異常。攻擊者可以利用該漏洞將某個設定的值寫入一段內存單元中，覆蓋掉該內存單元中原來的值，人為地造成溢出。實際上，攻擊者甚至可以使用惡意地址來覆蓋函數(shù)指針和存儲在GOT、．dtors或者TEB這類結構中的各種地址。有許多堆溢出漏洞的變體，如允許對函數(shù)指針進行覆蓋，又如由于執(zhí)行了惡意代碼造成內存管理結構被破壞。與棧溢出相比，對堆溢出進行定位需要更為細密的檢查，因為代碼中需要存在一些特定的條件這些漏洞才能顯露。

編輯推薦

《Web系統(tǒng)安全和滲透性測試基礎》編輯推薦：信息化是當今世界發(fā)展的大趨勢，是推動經濟社會變革的重要力量。大力推進信息化，是覆蓋我國現(xiàn)代化建設全局的戰(zhàn)略舉措，是貫徹落實科學發(fā)展觀，全面建設小康社會、構建社會主義和諧社會和建設創(chuàng)新型國家的迫切需要和必然選擇。如何以信息化提升綜合國力，如何在信息化快速發(fā)展的同時確保國家信息安全，這已經成為各國政府關心的熱點問題。信息安全已經從國家政治、經濟、軍事、文化等領域普及到社會團體、企業(yè)，直到普通百姓，信息安全成為信息化的最主要的基礎建設之一?！碽r〉從當前形勢分析，信息安全教育工作滯后，信息安全人才極度匱乏，社會需求與人才供給間還存在著很大差距。如何培養(yǎng)信息安全的專業(yè)人才，這一新問題困擾著人們，是我國目前面臨的重要問題?！碽r〉《國家信息安全培訓叢書》從根本出發(fā)，以求解決這一問題，推進信息安全人員培訓工作的順利開展。作者對于本套教材花費了大量的精力，力圖能描畫出信息安全保障的基礎性的概貌，是一套十分寶貴的信息安全專業(yè)人員培訓叢書。相信這套叢書的出版，能成為我國培養(yǎng)信息安全專業(yè)人員的重要基石。

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

---

    Web系統(tǒng)安全和滲透性測試基礎 PDF格式下載

---