本文共 1397 字,大约阅读时间需要 4 分钟。
原来做过两个项目的安全评估,做过几年的安全系统测试,但是对于安全测试也是有过评测的涉及,不过主要还是评测方面的,主要依据安全通用标准(CC)或者被测试设备的保护轮廓(PP),比如防火墙安全要求标准,IDS保护轮廓等;但是对于软件的安全测试虽然有所涉及但是还是没有系统化的了解。
前一段时间,测试时代的seanhe和3atesting的管理员kernzhang跟我说让我主持一下安全测试的版块内容,这两个论坛都是做软件测试的,那么我的入手点就要是软件的安全测试,所以在网上查找并关于软件安全测试的书籍,很幸运我看到了这本《软件安全测试艺术》的书,看了它的简介当时有两点很受我的赞同,一点是:像攻击者一样思考;另外一点是:从传统的软件测试进行转变,这正好揭开了我想找的问题,软件安全测试如何去做,软件安全测试跟常规的软件测试有什么区别,由于这两个前导因素,我在网上订购了这本书。
《软件安全测试艺术》一书是程永敬等人翻译的,书的原名是《The Art of Software Security Testing》作者美国的Chris Wysopal Lucas Nelso Dinao Dai Zovi Elfriede Dustin,因为没有看过原版(呵呵,看英文的东西还是有点费劲)但是看完这本书以后觉得翻译的还是很不错的,最起码翻译的文字不是很生涩,这一点要比《web安全测试》的那本书要好,因为在03年的时候读过那本书,感觉很多翻译的不像是中国话,不符合逻辑,并且有不少错字;从整体的逻辑上来说这本书比《web安全测试》的那本书也要好,感觉《Web安全测试》那本书设计的面太广了,设计的整个安全架构的东西,不过那本书总体还是不错的,也被当时评为比较好的基本测试书籍,在这就不多说它了。
很快我拿到了这本书,翻了一下,本书分为3部分12章具体如下:
a)
这一部分讲述如何从传统的软件测试进行转变,作者讲解了安全测试和传统的软件测试之间的对比、安全测试的转变范式、安全策略、像攻击者一样思考等问题;
b)
漏洞如何隐藏在软件中、漏洞的设计中实现、常见安全问题分析、编程语言实现漏洞问题等
c)
安全软件开发周期:讲述安全软件的开发周期过程,将安全测试引入到传统的软件开发周期,;由SDLC到SSDL的转变过程,以及安全的软件开发周期的模型,在这个周期中如何其做,如何去实现这个周期.
d)
基于风险的安全测试:关注那些攻击难度低而影响大的领域—Chris Wysopal;本章讲威胁建模过程,包括信息收集;识别威胁;识别漏洞等等过程。
e)
白盒、黑盒和灰盒测试:讲述软件安全测试的方法,与传统的测试方法的分类是一致的。
这一部分通过攻击的演练,来客观的看到软件攻击的情况,可以让读者直观的看到攻击方法的效果。本章演练的攻击包括常见的网络注入,比如端口扫描、代理攻击、数据注入等会话攻击比如对登录身份鉴别进行攻击,对会话和资源ID进行攻击;通过Cookie进行攻击、跨站执行脚本等;Web应用程序的常见问题比如:绕过授权、SQL注入攻击等;使用Webscarab介绍这个工具的使用;实现定制的侦探工具,网络嗅探协议发现的攻击方法;本地故障注入;
主要介绍漏洞的发现,与漏洞的可用性分析。
转载地址:http://bonli.baihongyu.com/