OWASP安全測試指南第4版

show0p

OWASP安全測試指南第4版  PDF下載內(nèi)容簡介
軟件安全問題也許是這個時代面臨的最為重要的技術(shù)挑戰(zhàn)。Web應(yīng)用程序讓業(yè)務(wù)、社交等網(wǎng)絡(luò)活動飛速發(fā)展，這同時也加劇了它們對軟件安全的要求。我們急需建立一個強(qiáng)大的方法來編寫和保護(hù)我們的互聯(lián)網(wǎng)、Web應(yīng)用程序和數(shù)據(jù)，并基于工程和科學(xué)的原則，用一致的、可重復(fù)的和定義的方法來測試軟件安全問題。本書正是實(shí)現(xiàn)這個目標(biāo)的重要一步，作為一本安全測試指南，詳細(xì)講解了Web應(yīng)用測試的“4W1H”，即“什么是測試”、“為什么要測試”、“什么時間測試”、“測試哪里”以及“如何測試”。本書適合高等院校計(jì)算機(jī)相關(guān)專業(yè)師生閱讀，也適合廣大軟件開發(fā)人員、測試人員以及所有對軟件安全問題感興趣的讀者閱讀。
目錄

第一部分 項(xiàng)目概述及測試框架
第1章 OWASP測試項(xiàng)目 2
1.1 OWASP測試項(xiàng)目概述 2
1.2 測試原則 5
1.3 測試技術(shù)說明 9
1.3.1 測試技術(shù)說明概述 9
1.3.2 人工檢查及復(fù)查 9
1.3.3 軟件威脅建模 10
1.3.4 代碼審查 11
1.3.5 滲透測試 12
1.3.6 需要平衡的測試方法 13
1.3.7 關(guān)于Web應(yīng)用掃描工具的注意事項(xiàng) 14
1.3.8 關(guān)于靜態(tài)源代碼復(fù)查工具的注意事項(xiàng) 15
1.3.9 安全測試需求推導(dǎo) 15
1.3.10 功能和非功能測試需求 18
1.3.11 安全測試集成于開發(fā)與測試工作流程 21
1.3.12 開發(fā)人員的安全測試 22
1.3.13 集成系統(tǒng)測試和操作測試 24
1.3.14 安全測試數(shù)據(jù)分析和報(bào)告 25
1.4 OWASP測試項(xiàng)目參考文獻(xiàn) 28
第2章 OWASP測試架構(gòu) 30
2.1 OWASP測試架構(gòu)概述 30
2.1.1 階段1：開發(fā)前 31
2.1.2 階段2：設(shè)計(jì)和定義階段 31
2.1.3 階段3：開發(fā)階段 33
2.1.4 階段4：部署中 33
2.1.5 階段5：維護(hù)和運(yùn)行 34
2.2 典型SDLC測試流程 34
第二部分 測試方法
第3章 Web應(yīng)用安全測試 36
3.1 Web應(yīng)用安全測試概述 36
3.2 什么是OWASP測試方法？ 37
第4章 信息收集測試 39
4.1 搜索引擎信息搜集（OTG-INFO-001） 39
4.1.1 信息搜集概述 39
4.1.2 信息搜集測試目標(biāo) 40
4.1.3 信息搜集測試方法 40
4.2 Web服務(wù)器指紋識別（OTG-INFO-002） 42
4.2.1 Web服務(wù)器指紋識別概述 42
4.2.2 Web服務(wù)器指紋識別測試目標(biāo) 42
4.2.3 Web服務(wù)器指紋識別測試方法 43
4.3 審查Web服務(wù)器元文件信息泄露（OTG-INFO-003） 48
4.3.1 審查Web服務(wù)器元文件信息泄露概述 48
4.3.2 審查Web服務(wù)器元文件信息泄露測試目標(biāo) 48
4.3.3 審查Web服務(wù)器元文件信息泄露測試方法 49
4.4 枚舉Web服務(wù)器的應(yīng)用（OTG-INFO-004） 52
4.4.1 枚舉Web服務(wù)器的應(yīng)用概述 52
4.4.2 枚舉Web服務(wù)器的應(yīng)用測試目標(biāo) 53
4.4.3 枚舉Web服務(wù)器的應(yīng)用測試方法 53
4.5 注釋和元數(shù)據(jù)信息泄露（OTG-INFO-005） 58
4.5.1 注釋和元數(shù)據(jù)信息泄露概述 58
4.5.2 注釋和元數(shù)據(jù)信息泄露測試目標(biāo) 58
4.5.3 注釋和元數(shù)據(jù)信息泄露測試方法 58
4.6 識別應(yīng)用的入口（OTG-INFO-006） 60
4.6.1 識別應(yīng)用的入口概述 60
4.6.2 識別應(yīng)用的入口測試目標(biāo) 60
4.6.3 識別應(yīng)用的入口測試方法 60
4.7 映射應(yīng)用程序的執(zhí)行路徑（OTG-INFO-007） 62
4.7.1 映射應(yīng)用程序的執(zhí)行路徑概述 62
4.7.2 映射應(yīng)用程序的執(zhí)行路徑測試目標(biāo) 63
4.7.3 映射應(yīng)用程序的執(zhí)行路徑測試方法 63
4.8 識別Web應(yīng)用框架（OTG-INFO-008） 64
4.8.1 識別Web應(yīng)用框架概述 64
4.8.2 識別Web應(yīng)用框架測試目標(biāo) 65
4.8.3 識別Web應(yīng)用框架測試方法 65
4.9 識別Web應(yīng)用程序（OTG-INFO-009） 69
4.9.1 識別Web應(yīng)用程序概述 69
4.9.2 識別Web應(yīng)用程序測試目標(biāo) 69
4.9.3 識別Web應(yīng)用程序測試方法 69
4.10 映射應(yīng)用架構(gòu)（OTG-INFO-010） 73
4.10.1 映射應(yīng)用架構(gòu)概述 73
4.10.2 映射應(yīng)用架構(gòu)測試方法 73
4.10.3 防護(hù)Web服務(wù)器示例 74
4.11 信息收集測試工具 75
4.12 信息收集測試參考文獻(xiàn) 81
4.13 信息收集測試加固措施 83
第5章 配置管理測試 87
5.1 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施配置測試（OTG-CONFIG-001） 87
5.1.1 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施配置測試概述 87
5.1.2 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施配置測試方法 88
5.2 應(yīng)用平臺配置測試（OTG-CONFIG-002） 89
5.2.1 應(yīng)用平臺配置測試概述 89
5.2.2 應(yīng)用平臺配置測試方法 89
5.3 敏感信息文件擴(kuò)展處理測試（OTG-CONFIG-003） 94
5.3.1 敏感信息文件擴(kuò)展處理測試概述 94
5.3.2 敏感信息文件擴(kuò)展處理測試方法 95
5.4 對舊文件、備份和未被引用文件的敏感信息的審查（OTG-CONFIG-004） 96
5.4.1 對舊文件、備份和未被引用文件的敏感信息的審查概述 96
5.4.2 對舊文件、備份和未被引用文件的敏感信息產(chǎn)生的威脅 97
5.4.3 對舊文件、備份和未被引用文件的敏感信息的測試方法 98
5.5 枚舉基礎(chǔ)設(shè)施和應(yīng)用程序管理界面（OTG-CONFIG-005） 101
5.5.1 枚舉基礎(chǔ)設(shè)施和應(yīng)用程序管理界面概述 101
5.5.2 枚舉基礎(chǔ)設(shè)施和應(yīng)用程序管理界面測試方法 102
5.6 HTTP方法測試（OTG-CONFIG-006） 103
5.6.1 HTTP方法測試概述 103
5.6.2 任意的HTTP方法 104
5.6.3 HTTP方法測試方法 104
5.7 HTTP強(qiáng)制安全傳輸測試（OTG-CONFIG-007） 108
5.7.1 HTTP強(qiáng)制安全傳輸測試概述 108
5.7.2 HTTP強(qiáng)制安全傳輸測試方法 108
5.8 RIA跨域策略測試（OTG-CONFIG-008） 109
5.8.1 RIA跨域策略測試概述 109
5.8.2 跨域策略測試方法 110
5.9 配置部署管理測試工具 111
5.10 配置部署管理測試參考文獻(xiàn) 113
5.11 配置部署管理測試加固措施 116
第6章 身份管理測試 117
6.1 角色定義測試（OTG-IDENT-001） 117
6.1.1 角色定義測試概述 117
6.1.2 角色定義測試目標(biāo) 117
6.1.3 角色定義測試方法 118
6.2 用戶注冊流程測試（OTG-IDENT-002） 118
6.2.1 用戶注冊流程測試概述 118
6.2.2 用戶注冊流程測試目標(biāo) 118
6.2.3 用戶注冊流程測試方法 119
6.3 賬戶配置過程測試（OTG-IDENT-003） 120
6.3.1 賬戶配置過程測試概述 120
6.3.2 賬戶配置過程測試測試目標(biāo) 120
6.3.3 賬戶配置過程測試測試方法 120
6.4 賬戶枚舉和可猜測的用戶賬戶測試（OTG-IDENT-004） 121
6.4.1 賬戶枚舉和可猜測的用戶賬戶測試概述 121
6.4.2 賬戶枚舉和可猜測的用戶賬戶測試方法 122
6.5 弱的或未實(shí)施的用戶策略測試（OTG-IDENT-005） 126
6.5.1 弱的或未實(shí)施的用戶策略測試概述 126
6.5.2 弱的或未實(shí)施的用戶策略測試目標(biāo) 126
6.5.3 弱的或未實(shí)施的用戶策略測試方法 126
6.6 身份管理測試工具 126
6.7 身份管理測試參考文獻(xiàn) 127
6.8 身份管理測試加固措施 128
第7章 認(rèn)證測試 129
7.1 憑證在加密通道中的傳輸測試（OTG-AUTHN-001） 129
7.1.1 憑證在加密通道中的傳輸測試概述 129
7.1.2 憑證在加密通道中的傳輸測試方法 130
7.2 默認(rèn)用戶憑證測試（OTG-AUTHN-002） 133
7.2.1 默認(rèn)用戶憑證測試概述 133
7.2.2 默認(rèn)用戶憑證測試方法 133
7.3 弱鎖定機(jī)制測試（OTG-AUTHN-003） 136
7.3.1 弱鎖定機(jī)制測試概述 136
7.3.2 弱鎖定機(jī)制測試目標(biāo) 136
7.3.3 弱鎖定機(jī)制測試方法 136
7.4 認(rèn)證模式繞過測試（OTG-AUTHN-004） 138
7.4.1 認(rèn)證模式繞過測試概述 138
7.4.2 認(rèn)證模式繞過測試方法 138
7.5 記憶密碼功能存在威脅測試（OTG-AUTHN-005） 142
7.5.1 記憶密碼功能存在威脅測試概述 142
7.5.2 記憶密碼功能存在威脅測試方法 143
7.6 瀏覽器緩存威脅測試（OTG-AUTHN-006） 143
7.6.1 瀏覽器緩存威脅測試概述 143
7.6.2 瀏覽器緩存威脅測試方法 144
7.7 弱密碼策略測試（OTG-AUTHN-007） 145
7.7.1 弱密碼策略測試概述 145
7.7.2 弱密碼策略測試目標(biāo) 145
7.7.3 弱密碼策略測試方法 146
7.8 弱安全問答測試（OTG-AUTHN-008） 146
7.8.1 弱安全問答測試概述 146
7.8.2 弱安全問答測試方法 147
7.9 弱密碼的更改或重設(shè)功能測試（OTG-AUTHN-009） 148
7.9.1 弱密碼的更改或重設(shè)功能測試概述 148
7.9.2 弱密碼的更改或重設(shè)功能測試目標(biāo) 148
7.9.3 弱密碼的更改或重設(shè)功能測試方法 148
7.10 在輔助信道中較弱認(rèn)證測試（OTG-AUTHN-010） 150
7.10.1 在輔助信道中較弱認(rèn)證測試概述 150
7.10.2 在輔助信道中較弱認(rèn)證測試示例 151
7.10.3 在輔助信道中較弱認(rèn)證測試方法 151
7.10.4 關(guān)聯(lián)的測試用例 152
7.11 認(rèn)證測試工具 152
7.12 認(rèn)證測試參考文獻(xiàn) 153
7.13 認(rèn)證測試加固措施 155
第8章 授權(quán)測試 156
8.1 目錄遍歷/文件包含測試（OTG-AUTHZ-001） 156
8.1.1 目錄遍歷/文件包含測試概述 156
8.1.2 目錄遍歷/文件包含測試方法 157
8.2 繞過授權(quán)模式測試（OTG-AUTHZ-002） 160
8.2.1 繞過授權(quán)模式測試概述 160
8.2.2 繞過授權(quán)模式測試方法 161
8.3 權(quán)限提升測試（OTG-AUTHZ-003） 161
8.3.1 權(quán)限提升測試概述 161
8.3.2 權(quán)限提升測試方法 162
8.4 不安全對象引用測試（OTG-AUTHZ-004） 163
8.4.1 不安全對象引用測試概述 163
8.4.2 不安全對象引用測試方法 163
8.5 授權(quán)測試工具 165
8.6 授權(quán)測試參考文獻(xiàn) 165
8.7 授權(quán)測試加固措施 166
第9章 會話管理測試 167
9.1 會話管理架構(gòu)繞過測試（OTG-SESS-001） 167
9.1.1 會話管理架構(gòu)繞過測試概述 167
9.1.2 會話管理架構(gòu)繞過測試方法 168
9.2 Cookie屬性測試（OTG-SESS-002） 173
9.2.1 Cookie屬性測試概述 173
9.2.2 Cookie屬性測試方法 175
9.3 會話固化測試（OTG-SESS-003） 176
9.3.1 會話固化測試概述 176
9.3.2 會話固化測試方法 176
9.4 會話變量泄露測試（OTG-SESS-004） 178
9.4.1 會話變量泄露測試概述 178
9.4.2 會話變量泄露測試方法 178
9.5 跨站偽造請求（CSRF）測試（OTG-SESS-005） 181
9.5.1 跨站偽造請求（CSRF）測試概述 181
9.5.2 跨站偽造請求（CSRF）測試方法 184
9.6 會話管理測試工具 185
9.7 會話管理測試參考文獻(xiàn) 186
9.8 會話管理測試加固措施 188
第10章 輸入驗(yàn)證測試 190
10.1 反射型跨站腳本測試（OTG-INPVAL-001） 190
10.1.1 反射型跨站腳本測試概述 190
10.1.2 反射型跨站腳本測試方法 191
10.2 存儲型跨站腳本測試（OTG-INPVAL-002） 195
10.2.1 存儲型跨站腳本測試概述 195
10.2.2 存儲型跨站腳本測試方法 196
10.3 HTTP方法篡改測試（OTG-INPVAL-003） 200
10.3.1 HTTP方法篡改測試概述 200
10.3.2 方法篡改測試方法 201
10.4 HTTP參數(shù)污染測試（OTG-INPVAL-004） 203
10.4.1 參數(shù)污染測試概述 203
10.4.2 參數(shù)污染測試方法 205
10.5 SQL注入測試（OTG-INPVAL-005） 207
10.5.1 SQL注入測試概述 207
10.5.2 注入測試方法 208
10.6 LDAP測試（OTG-INPVAL-006） 245
10.6.1 LDAP測試概述 245
10.6.2 LDAP測試方法 246
10.7 ORM注入測試（OTG-INPVAL-007） 247
10.7.1 ORM注入測試概述 247
10.7.2 ORM注入測試方法 247
10.8 XML注入測試（OTG-INPVAL-008） 248
10.8.1 XML注入測試概述 248
10.8.2 XML注入測試方法 248
10.8.3 發(fā)現(xiàn)漏洞 250
10.9 SSI注入測試（OTG-INPVAL-009） 255
10.9.1 SSI注入測試概述 255
10.9.2 SSI注入測試方法 256
10.10 XPath注入測試（OTG-INPVAL-010） 257
10.10.1 XPath注入測試概述 257
10.10.2 XPath注入測試方法 258
10.11 IMAP/SMTP注入測試（OTG-INPVAL-011） 259
10.11.1 IMAP/SMTP注入測試概述 259
10.11.2 IMAP/SMTP注入測試方法 260
10.12 代碼注入測試（OTG-INPVAL-012） 263
10.12.1 代碼注入測試概述 263
10.12.2 代碼注入測試方法 264
10.13 命令注入測試（OTG-INPVAL-013） 266
10.13.1 命令注入測試概述 266
10.13.2 命令注入測試方法 267
10.14 緩沖區(qū)溢出測試（OTG-INPVAL-014） 269
10.14.1 緩沖區(qū)溢出測試概述 269
10.14.2 緩沖區(qū)溢出測試方法 269
10.15 潛伏式漏洞測試（OTG-INPVAL-015） 278
10.15.1 潛伏式漏洞測試概述 278
10.15.2 潛伏式漏洞測試方法 279
10.16 HTTP拆分/走私測試(OTG-INPVAL-016) 281
10.16.1 HTTP拆分/走私測試概述 281
10.16.2 HTTP拆分/走私測試方法 282
10.17 輸入驗(yàn)證測試工具 285
10.18 輸入驗(yàn)證測試參考文獻(xiàn) 290
10.19 輸入驗(yàn)證測試加固措施 297
第11章 錯誤處理測試 300
11.1 報(bào)錯信息測試（OTG-ERR-001） 300
11.1.1 報(bào)錯信息測試概述 300
11.1.2 報(bào)錯信息測試方法 302
11.2 堆棧軌跡測試（OTG-ERR-002） 305
11.2.1 堆棧軌跡測試概述 305
11.2.2 堆棧軌跡測試方法 306
11.3 錯誤處理測試工具 306
11.4 錯誤處理測試參考文獻(xiàn) 307
11.5 錯誤處理測試加固措施 307
?
第12章 加密體系脆弱性測試 310
12.1 SSL/TLS弱加密、傳輸層協(xié)議缺陷測試（OTG-CRYPST-001） 310
12.1.1 SSL/TLS弱加密、傳輸層協(xié)議缺陷測試概述 310
12.1.2 SSL/TLS弱加密、傳輸層協(xié)議缺陷測試方法 313
12.2 Padding Oracle攻擊測試（OTG-CRYPST-002） 342
12.2.1 Padding Oracle攻擊測試概述 342
12.2.2 Padding Oracle攻擊測試方法 343
12.3 通過未加密信道發(fā)送敏感數(shù)據(jù)測試（OTG-CRYPST-003） 344
12.3.1 通過未加密信道發(fā)送敏感數(shù)據(jù)測試概述 344
12.3.2 通過未加密信道發(fā)送敏感數(shù)據(jù)測試方法 345
12.4 加密體系脆弱性測試工具 347
12.5 加密體系脆弱性參考文獻(xiàn) 348
12.6 加密體系脆弱性加固措施（無） 351
第13章 業(yè)務(wù)邏輯測試 352
13.1 業(yè)務(wù)邏輯數(shù)據(jù)驗(yàn)證測試（OTG-BUSLOGIC-001） 354
13.1.1 業(yè)務(wù)邏輯數(shù)據(jù)驗(yàn)證測試概述 354
13.1.2 業(yè)務(wù)邏輯數(shù)據(jù)驗(yàn)證測試示例 355
13.1.3 業(yè)務(wù)邏輯數(shù)據(jù)驗(yàn)證測試方法 355
13.2 偽造請求的測試（OTG-BUSLOGIC-002） 356
13.2.1 偽造請求的測試概述 356
13.2.2 偽造請求的測試示例 357
13.2.3 偽造請求的測試方法 357
13.3 完整性檢查測試（OTG-BUSLOGIC-003） 358
13.3.1 完整性檢查測試概述 358
13.3.2 完整性檢查測試示例 359
13.3.3 完整性檢查測試方法 359
13.4 處理耗時測試（OTG-BUSLOGIC-004） 360
13.4.1 處理耗時測試概述 360
13.4.2 處理耗時測試示例 361
13.4.3 處理耗時測試方法 361
13.5 功能使用次數(shù)限制（OTG-BUSLOGIC-005） 361
13.5.1 功能使用次數(shù)限制概述 361
13.5.2 功能使用次數(shù)限制示例 362
13.5.3 功能使用次數(shù)限制測試方法 362
?
13.6 工作流程逃逸的測試（OTG-BUSLOGIC-006） 362
13.6.1 工作流程逃逸的測試概述 362
13.6.2 工作流程逃逸的測試示例 363
13.6.3 工作流程逃逸的測試方法 363
13.7 防御應(yīng)用程序?yàn)E用測試（OTG-BUSLOGIC-007） 364
13.7.1 防御應(yīng)用程序?yàn)E用測試概述 364
13.7.2 防御應(yīng)用程序?yàn)E用測試示例 364
13.7.3 防御應(yīng)用程序?yàn)E用測試方法 365
13.8 意外文件類型上傳測試（OTG-BUSLOGIC-008） 366
13.8.1 意外文件類型上傳測試概述 366
13.8.2 意外文件類型上傳測試示例 367
13.8.3 意外文件類型上傳測試方法 367
13.9 惡意文件上傳測試（OTG-BUSLOGIC-009） 367
13.9.1 惡意文件上傳測試概述 367
13.9.2 惡意文件上傳測試示例 368
13.9.3 惡意文件上傳測試方法 368
13.10 業(yè)務(wù)邏輯測試工具 369
13.11 業(yè)務(wù)邏輯測試參考文獻(xiàn) 371
13.12 業(yè)務(wù)邏輯測試加固措施 376
第14章 客戶端測試 378
14.1 基于DOM的跨站腳本測試（OTG-CLIENT-001） 378
14.1.1 基于DOM的跨站腳本測試概述 378
14.1.2 基于DOM的跨站腳本的測試方法 378
14.2 JavaScript執(zhí)行測試（OTG-CLIENT-002） 381
14.2.1 JavaScript執(zhí)行測試概述 381
14.2.2 JavaScript執(zhí)行測試方法 381
14.3 HTML注入測試（OTG-CLIENT-003） 382
14.3.1 HTML注入測試概述 382
14.3.2 HTML注入測試方法 382
14.4 客戶端URL重定向測試（OTG-CLIENT-004） 384
14.4.1 客戶端URL重定向測試概述 384
14.4.2 客戶端URL重定向測試方法 384
14.5 CSS注入測試（OTG-CLIENT-005） 385
14.5.1 CSS注入測試概述 385
14.5.2 CSS注入測試方法 386
14.6 客戶端資源處理測試（OTG-CLIENT-006） 388
14.6.1 客戶端資源處理測試概述 388
14.6.2 客戶端資源處理測試方法 388
14.7 跨源資源共享測試（OTG-CLIENT-007） 390
14.7.1 跨源資源共享測試概述 390
14.7.2 跨源資源共享測試方法 391
14.8 跨站Flash測試（OTG-CLIENT-008） 395
14.8.1 跨站Flash測試概述 395
14.8.2 跨站Flash測試方法 395
14.9 點(diǎn)擊劫持測試（OTG-CLIENT-009） 401
14.9.1 點(diǎn)擊劫持測試概述 401
14.9.2 點(diǎn)擊劫持測試方法 402
14.10 WebSockets測試（OTG-CLIENT-010） 411
14.10.1 WebSockets測試概述 411
14.10.2 WebSockets測試方法 412
14.11 Web消息測試（OTG-CLIENT-011） 414
14.11.1 Web消息測試概述 414
14.11.2 Web消息測試方法 415
14.12 本地存儲測試（OTG-CLIENT-012） 417
14.12.1 本地存儲測試概述 417
14.12.2 本地存儲測試方法 417
14.13 客戶端測試工具 419
14.14 客戶端測試參考文獻(xiàn) 421
14.15 客戶端測試加固措施 425
第三部分 測試報(bào)告
第15章 報(bào)告 428
附錄A 測試工具 430
附錄B 推薦讀物 439
附錄C 模糊測試向量 444
附錄D 編碼注入 452
附錄E 測試項(xiàng)列表 455

游客，如果您要查看本帖隱藏內(nèi)容請回復(fù)

梅川酷子

謝謝分享···················

冰疙瘩

來晚了看還能弄到不

nanfangcike

111111111

106721

餓我去惡趣味去問

qq1879371216

sf`~~~~~~~~~~~~~~~~~~~~~~~~~~~

Mrxiaohui

需要學(xué)習(xí)，謝謝樓主共享

Mrxiaohui

樓主，已經(jīng)是取消分享，可以再發(fā)一份嘛？

dadaozhijian

asdfsafa

wyp-sky

謝謝樓主分享