OWASP安全測(cè)試指南第4版

show0p

OWASP安全測(cè)試指南第4版  PDF下載內(nèi)容簡(jiǎn)介
軟件安全問(wèn)題也許是這個(gè)時(shí)代面臨的最為重要的技術(shù)挑戰(zhàn)。Web應(yīng)用程序讓業(yè)務(wù)、社交等網(wǎng)絡(luò)活動(dòng)飛速發(fā)展，這同時(shí)也加劇了它們對(duì)軟件安全的要求。我們急需建立一個(gè)強(qiáng)大的方法來(lái)編寫(xiě)和保護(hù)我們的互聯(lián)網(wǎng)、Web應(yīng)用程序和數(shù)據(jù)，并基于工程和科學(xué)的原則，用一致的、可重復(fù)的和定義的方法來(lái)測(cè)試軟件安全問(wèn)題。本書(shū)正是實(shí)現(xiàn)這個(gè)目標(biāo)的重要一步，作為一本安全測(cè)試指南，詳細(xì)講解了Web應(yīng)用測(cè)試的“4W1H”，即“什么是測(cè)試”、“為什么要測(cè)試”、“什么時(shí)間測(cè)試”、“測(cè)試哪里”以及“如何測(cè)試”。本書(shū)適合高等院校計(jì)算機(jī)相關(guān)專業(yè)師生閱讀，也適合廣大軟件開(kāi)發(fā)人員、測(cè)試人員以及所有對(duì)軟件安全問(wèn)題感興趣的讀者閱讀。
目錄

第一部分 項(xiàng)目概述及測(cè)試框架
第1章 OWASP測(cè)試項(xiàng)目 2
1.1 OWASP測(cè)試項(xiàng)目概述 2
1.2 測(cè)試原則 5
1.3 測(cè)試技術(shù)說(shuō)明 9
1.3.1 測(cè)試技術(shù)說(shuō)明概述 9
1.3.2 人工檢查及復(fù)查 9
1.3.3 軟件威脅建模 10
1.3.4 代碼審查 11
1.3.5 滲透測(cè)試 12
1.3.6 需要平衡的測(cè)試方法 13
1.3.7 關(guān)于Web應(yīng)用掃描工具的注意事項(xiàng) 14
1.3.8 關(guān)于靜態(tài)源代碼復(fù)查工具的注意事項(xiàng) 15
1.3.9 安全測(cè)試需求推導(dǎo) 15
1.3.10 功能和非功能測(cè)試需求 18
1.3.11 安全測(cè)試集成于開(kāi)發(fā)與測(cè)試工作流程 21
1.3.12 開(kāi)發(fā)人員的安全測(cè)試 22
1.3.13 集成系統(tǒng)測(cè)試和操作測(cè)試 24
1.3.14 安全測(cè)試數(shù)據(jù)分析和報(bào)告 25
1.4 OWASP測(cè)試項(xiàng)目參考文獻(xiàn) 28
第2章 OWASP測(cè)試架構(gòu) 30
2.1 OWASP測(cè)試架構(gòu)概述 30
2.1.1 階段1：開(kāi)發(fā)前 31
2.1.2 階段2：設(shè)計(jì)和定義階段 31
2.1.3 階段3：開(kāi)發(fā)階段 33
2.1.4 階段4：部署中 33
2.1.5 階段5：維護(hù)和運(yùn)行 34
2.2 典型SDLC測(cè)試流程 34
第二部分 測(cè)試方法
第3章 Web應(yīng)用安全測(cè)試 36
3.1 Web應(yīng)用安全測(cè)試概述 36
3.2 什么是OWASP測(cè)試方法？ 37
第4章 信息收集測(cè)試 39
4.1 搜索引擎信息搜集（OTG-INFO-001） 39
4.1.1 信息搜集概述 39
4.1.2 信息搜集測(cè)試目標(biāo) 40
4.1.3 信息搜集測(cè)試方法 40
4.2 Web服務(wù)器指紋識(shí)別（OTG-INFO-002） 42
4.2.1 Web服務(wù)器指紋識(shí)別概述 42
4.2.2 Web服務(wù)器指紋識(shí)別測(cè)試目標(biāo) 42
4.2.3 Web服務(wù)器指紋識(shí)別測(cè)試方法 43
4.3 審查Web服務(wù)器元文件信息泄露（OTG-INFO-003） 48
4.3.1 審查Web服務(wù)器元文件信息泄露概述 48
4.3.2 審查Web服務(wù)器元文件信息泄露測(cè)試目標(biāo) 48
4.3.3 審查Web服務(wù)器元文件信息泄露測(cè)試方法 49
4.4 枚舉Web服務(wù)器的應(yīng)用（OTG-INFO-004） 52
4.4.1 枚舉Web服務(wù)器的應(yīng)用概述 52
4.4.2 枚舉Web服務(wù)器的應(yīng)用測(cè)試目標(biāo) 53
4.4.3 枚舉Web服務(wù)器的應(yīng)用測(cè)試方法 53
4.5 注釋和元數(shù)據(jù)信息泄露（OTG-INFO-005） 58
4.5.1 注釋和元數(shù)據(jù)信息泄露概述 58
4.5.2 注釋和元數(shù)據(jù)信息泄露測(cè)試目標(biāo) 58
4.5.3 注釋和元數(shù)據(jù)信息泄露測(cè)試方法 58
4.6 識(shí)別應(yīng)用的入口（OTG-INFO-006） 60
4.6.1 識(shí)別應(yīng)用的入口概述 60
4.6.2 識(shí)別應(yīng)用的入口測(cè)試目標(biāo) 60
4.6.3 識(shí)別應(yīng)用的入口測(cè)試方法 60
4.7 映射應(yīng)用程序的執(zhí)行路徑（OTG-INFO-007） 62
4.7.1 映射應(yīng)用程序的執(zhí)行路徑概述 62
4.7.2 映射應(yīng)用程序的執(zhí)行路徑測(cè)試目標(biāo) 63
4.7.3 映射應(yīng)用程序的執(zhí)行路徑測(cè)試方法 63
4.8 識(shí)別Web應(yīng)用框架（OTG-INFO-008） 64
4.8.1 識(shí)別Web應(yīng)用框架概述 64
4.8.2 識(shí)別Web應(yīng)用框架測(cè)試目標(biāo) 65
4.8.3 識(shí)別Web應(yīng)用框架測(cè)試方法 65
4.9 識(shí)別Web應(yīng)用程序（OTG-INFO-009） 69
4.9.1 識(shí)別Web應(yīng)用程序概述 69
4.9.2 識(shí)別Web應(yīng)用程序測(cè)試目標(biāo) 69
4.9.3 識(shí)別Web應(yīng)用程序測(cè)試方法 69
4.10 映射應(yīng)用架構(gòu)（OTG-INFO-010） 73
4.10.1 映射應(yīng)用架構(gòu)概述 73
4.10.2 映射應(yīng)用架構(gòu)測(cè)試方法 73
4.10.3 防護(hù)Web服務(wù)器示例 74
4.11 信息收集測(cè)試工具 75
4.12 信息收集測(cè)試參考文獻(xiàn) 81
4.13 信息收集測(cè)試加固措施 83
第5章 配置管理測(cè)試 87
5.1 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施配置測(cè)試（OTG-CONFIG-001） 87
5.1.1 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施配置測(cè)試概述 87
5.1.2 網(wǎng)絡(luò)和基礎(chǔ)設(shè)施配置測(cè)試方法 88
5.2 應(yīng)用平臺(tái)配置測(cè)試（OTG-CONFIG-002） 89
5.2.1 應(yīng)用平臺(tái)配置測(cè)試概述 89
5.2.2 應(yīng)用平臺(tái)配置測(cè)試方法 89
5.3 敏感信息文件擴(kuò)展處理測(cè)試（OTG-CONFIG-003） 94
5.3.1 敏感信息文件擴(kuò)展處理測(cè)試概述 94
5.3.2 敏感信息文件擴(kuò)展處理測(cè)試方法 95
5.4 對(duì)舊文件、備份和未被引用文件的敏感信息的審查（OTG-CONFIG-004） 96
5.4.1 對(duì)舊文件、備份和未被引用文件的敏感信息的審查概述 96
5.4.2 對(duì)舊文件、備份和未被引用文件的敏感信息產(chǎn)生的威脅 97
5.4.3 對(duì)舊文件、備份和未被引用文件的敏感信息的測(cè)試方法 98
5.5 枚舉基礎(chǔ)設(shè)施和應(yīng)用程序管理界面（OTG-CONFIG-005） 101
5.5.1 枚舉基礎(chǔ)設(shè)施和應(yīng)用程序管理界面概述 101
5.5.2 枚舉基礎(chǔ)設(shè)施和應(yīng)用程序管理界面測(cè)試方法 102
5.6 HTTP方法測(cè)試（OTG-CONFIG-006） 103
5.6.1 HTTP方法測(cè)試概述 103
5.6.2 任意的HTTP方法 104
5.6.3 HTTP方法測(cè)試方法 104
5.7 HTTP強(qiáng)制安全傳輸測(cè)試（OTG-CONFIG-007） 108
5.7.1 HTTP強(qiáng)制安全傳輸測(cè)試概述 108
5.7.2 HTTP強(qiáng)制安全傳輸測(cè)試方法 108
5.8 RIA跨域策略測(cè)試（OTG-CONFIG-008） 109
5.8.1 RIA跨域策略測(cè)試概述 109
5.8.2 跨域策略測(cè)試方法 110
5.9 配置部署管理測(cè)試工具 111
5.10 配置部署管理測(cè)試參考文獻(xiàn) 113
5.11 配置部署管理測(cè)試加固措施 116
第6章 身份管理測(cè)試 117
6.1 角色定義測(cè)試（OTG-IDENT-001） 117
6.1.1 角色定義測(cè)試概述 117
6.1.2 角色定義測(cè)試目標(biāo) 117
6.1.3 角色定義測(cè)試方法 118
6.2 用戶注冊(cè)流程測(cè)試（OTG-IDENT-002） 118
6.2.1 用戶注冊(cè)流程測(cè)試概述 118
6.2.2 用戶注冊(cè)流程測(cè)試目標(biāo) 118
6.2.3 用戶注冊(cè)流程測(cè)試方法 119
6.3 賬戶配置過(guò)程測(cè)試（OTG-IDENT-003） 120
6.3.1 賬戶配置過(guò)程測(cè)試概述 120
6.3.2 賬戶配置過(guò)程測(cè)試測(cè)試目標(biāo) 120
6.3.3 賬戶配置過(guò)程測(cè)試測(cè)試方法 120
6.4 賬戶枚舉和可猜測(cè)的用戶賬戶測(cè)試（OTG-IDENT-004） 121
6.4.1 賬戶枚舉和可猜測(cè)的用戶賬戶測(cè)試概述 121
6.4.2 賬戶枚舉和可猜測(cè)的用戶賬戶測(cè)試方法 122
6.5 弱的或未實(shí)施的用戶策略測(cè)試（OTG-IDENT-005） 126
6.5.1 弱的或未實(shí)施的用戶策略測(cè)試概述 126
6.5.2 弱的或未實(shí)施的用戶策略測(cè)試目標(biāo) 126
6.5.3 弱的或未實(shí)施的用戶策略測(cè)試方法 126
6.6 身份管理測(cè)試工具 126
6.7 身份管理測(cè)試參考文獻(xiàn) 127
6.8 身份管理測(cè)試加固措施 128
第7章 認(rèn)證測(cè)試 129
7.1 憑證在加密通道中的傳輸測(cè)試（OTG-AUTHN-001） 129
7.1.1 憑證在加密通道中的傳輸測(cè)試概述 129
7.1.2 憑證在加密通道中的傳輸測(cè)試方法 130
7.2 默認(rèn)用戶憑證測(cè)試（OTG-AUTHN-002） 133
7.2.1 默認(rèn)用戶憑證測(cè)試概述 133
7.2.2 默認(rèn)用戶憑證測(cè)試方法 133
7.3 弱鎖定機(jī)制測(cè)試（OTG-AUTHN-003） 136
7.3.1 弱鎖定機(jī)制測(cè)試概述 136
7.3.2 弱鎖定機(jī)制測(cè)試目標(biāo) 136
7.3.3 弱鎖定機(jī)制測(cè)試方法 136
7.4 認(rèn)證模式繞過(guò)測(cè)試（OTG-AUTHN-004） 138
7.4.1 認(rèn)證模式繞過(guò)測(cè)試概述 138
7.4.2 認(rèn)證模式繞過(guò)測(cè)試方法 138
7.5 記憶密碼功能存在威脅測(cè)試（OTG-AUTHN-005） 142
7.5.1 記憶密碼功能存在威脅測(cè)試概述 142
7.5.2 記憶密碼功能存在威脅測(cè)試方法 143
7.6 瀏覽器緩存威脅測(cè)試（OTG-AUTHN-006） 143
7.6.1 瀏覽器緩存威脅測(cè)試概述 143
7.6.2 瀏覽器緩存威脅測(cè)試方法 144
7.7 弱密碼策略測(cè)試（OTG-AUTHN-007） 145
7.7.1 弱密碼策略測(cè)試概述 145
7.7.2 弱密碼策略測(cè)試目標(biāo) 145
7.7.3 弱密碼策略測(cè)試方法 146
7.8 弱安全問(wèn)答測(cè)試（OTG-AUTHN-008） 146
7.8.1 弱安全問(wèn)答測(cè)試概述 146
7.8.2 弱安全問(wèn)答測(cè)試方法 147
7.9 弱密碼的更改或重設(shè)功能測(cè)試（OTG-AUTHN-009） 148
7.9.1 弱密碼的更改或重設(shè)功能測(cè)試概述 148
7.9.2 弱密碼的更改或重設(shè)功能測(cè)試目標(biāo) 148
7.9.3 弱密碼的更改或重設(shè)功能測(cè)試方法 148
7.10 在輔助信道中較弱認(rèn)證測(cè)試（OTG-AUTHN-010） 150
7.10.1 在輔助信道中較弱認(rèn)證測(cè)試概述 150
7.10.2 在輔助信道中較弱認(rèn)證測(cè)試示例 151
7.10.3 在輔助信道中較弱認(rèn)證測(cè)試方法 151
7.10.4 關(guān)聯(lián)的測(cè)試用例 152
7.11 認(rèn)證測(cè)試工具 152
7.12 認(rèn)證測(cè)試參考文獻(xiàn) 153
7.13 認(rèn)證測(cè)試加固措施 155
第8章 授權(quán)測(cè)試 156
8.1 目錄遍歷/文件包含測(cè)試（OTG-AUTHZ-001） 156
8.1.1 目錄遍歷/文件包含測(cè)試概述 156
8.1.2 目錄遍歷/文件包含測(cè)試方法 157
8.2 繞過(guò)授權(quán)模式測(cè)試（OTG-AUTHZ-002） 160
8.2.1 繞過(guò)授權(quán)模式測(cè)試概述 160
8.2.2 繞過(guò)授權(quán)模式測(cè)試方法 161
8.3 權(quán)限提升測(cè)試（OTG-AUTHZ-003） 161
8.3.1 權(quán)限提升測(cè)試概述 161
8.3.2 權(quán)限提升測(cè)試方法 162
8.4 不安全對(duì)象引用測(cè)試（OTG-AUTHZ-004） 163
8.4.1 不安全對(duì)象引用測(cè)試概述 163
8.4.2 不安全對(duì)象引用測(cè)試方法 163
8.5 授權(quán)測(cè)試工具 165
8.6 授權(quán)測(cè)試參考文獻(xiàn) 165
8.7 授權(quán)測(cè)試加固措施 166
第9章 會(huì)話管理測(cè)試 167
9.1 會(huì)話管理架構(gòu)繞過(guò)測(cè)試（OTG-SESS-001） 167
9.1.1 會(huì)話管理架構(gòu)繞過(guò)測(cè)試概述 167
9.1.2 會(huì)話管理架構(gòu)繞過(guò)測(cè)試方法 168
9.2 Cookie屬性測(cè)試（OTG-SESS-002） 173
9.2.1 Cookie屬性測(cè)試概述 173
9.2.2 Cookie屬性測(cè)試方法 175
9.3 會(huì)話固化測(cè)試（OTG-SESS-003） 176
9.3.1 會(huì)話固化測(cè)試概述 176
9.3.2 會(huì)話固化測(cè)試方法 176
9.4 會(huì)話變量泄露測(cè)試（OTG-SESS-004） 178
9.4.1 會(huì)話變量泄露測(cè)試概述 178
9.4.2 會(huì)話變量泄露測(cè)試方法 178
9.5 跨站偽造請(qǐng)求（CSRF）測(cè)試（OTG-SESS-005） 181
9.5.1 跨站偽造請(qǐng)求（CSRF）測(cè)試概述 181
9.5.2 跨站偽造請(qǐng)求（CSRF）測(cè)試方法 184
9.6 會(huì)話管理測(cè)試工具 185
9.7 會(huì)話管理測(cè)試參考文獻(xiàn) 186
9.8 會(huì)話管理測(cè)試加固措施 188
第10章 輸入驗(yàn)證測(cè)試 190
10.1 反射型跨站腳本測(cè)試（OTG-INPVAL-001） 190
10.1.1 反射型跨站腳本測(cè)試概述 190
10.1.2 反射型跨站腳本測(cè)試方法 191
10.2 存儲(chǔ)型跨站腳本測(cè)試（OTG-INPVAL-002） 195
10.2.1 存儲(chǔ)型跨站腳本測(cè)試概述 195
10.2.2 存儲(chǔ)型跨站腳本測(cè)試方法 196
10.3 HTTP方法篡改測(cè)試（OTG-INPVAL-003） 200
10.3.1 HTTP方法篡改測(cè)試概述 200
10.3.2 方法篡改測(cè)試方法 201
10.4 HTTP參數(shù)污染測(cè)試（OTG-INPVAL-004） 203
10.4.1 參數(shù)污染測(cè)試概述 203
10.4.2 參數(shù)污染測(cè)試方法 205
10.5 SQL注入測(cè)試（OTG-INPVAL-005） 207
10.5.1 SQL注入測(cè)試概述 207
10.5.2 注入測(cè)試方法 208
10.6 LDAP測(cè)試（OTG-INPVAL-006） 245
10.6.1 LDAP測(cè)試概述 245
10.6.2 LDAP測(cè)試方法 246
10.7 ORM注入測(cè)試（OTG-INPVAL-007） 247
10.7.1 ORM注入測(cè)試概述 247
10.7.2 ORM注入測(cè)試方法 247
10.8 XML注入測(cè)試（OTG-INPVAL-008） 248
10.8.1 XML注入測(cè)試概述 248
10.8.2 XML注入測(cè)試方法 248
10.8.3 發(fā)現(xiàn)漏洞 250
10.9 SSI注入測(cè)試（OTG-INPVAL-009） 255
10.9.1 SSI注入測(cè)試概述 255
10.9.2 SSI注入測(cè)試方法 256
10.10 XPath注入測(cè)試（OTG-INPVAL-010） 257
10.10.1 XPath注入測(cè)試概述 257
10.10.2 XPath注入測(cè)試方法 258
10.11 IMAP/SMTP注入測(cè)試（OTG-INPVAL-011） 259
10.11.1 IMAP/SMTP注入測(cè)試概述 259
10.11.2 IMAP/SMTP注入測(cè)試方法 260
10.12 代碼注入測(cè)試（OTG-INPVAL-012） 263
10.12.1 代碼注入測(cè)試概述 263
10.12.2 代碼注入測(cè)試方法 264
10.13 命令注入測(cè)試（OTG-INPVAL-013） 266
10.13.1 命令注入測(cè)試概述 266
10.13.2 命令注入測(cè)試方法 267
10.14 緩沖區(qū)溢出測(cè)試（OTG-INPVAL-014） 269
10.14.1 緩沖區(qū)溢出測(cè)試概述 269
10.14.2 緩沖區(qū)溢出測(cè)試方法 269
10.15 潛伏式漏洞測(cè)試（OTG-INPVAL-015） 278
10.15.1 潛伏式漏洞測(cè)試概述 278
10.15.2 潛伏式漏洞測(cè)試方法 279
10.16 HTTP拆分/走私測(cè)試(OTG-INPVAL-016) 281
10.16.1 HTTP拆分/走私測(cè)試概述 281
10.16.2 HTTP拆分/走私測(cè)試方法 282
10.17 輸入驗(yàn)證測(cè)試工具 285
10.18 輸入驗(yàn)證測(cè)試參考文獻(xiàn) 290
10.19 輸入驗(yàn)證測(cè)試加固措施 297
第11章 錯(cuò)誤處理測(cè)試 300
11.1 報(bào)錯(cuò)信息測(cè)試（OTG-ERR-001） 300
11.1.1 報(bào)錯(cuò)信息測(cè)試概述 300
11.1.2 報(bào)錯(cuò)信息測(cè)試方法 302
11.2 堆棧軌跡測(cè)試（OTG-ERR-002） 305
11.2.1 堆棧軌跡測(cè)試概述 305
11.2.2 堆棧軌跡測(cè)試方法 306
11.3 錯(cuò)誤處理測(cè)試工具 306
11.4 錯(cuò)誤處理測(cè)試參考文獻(xiàn) 307
11.5 錯(cuò)誤處理測(cè)試加固措施 307
?
第12章 加密體系脆弱性測(cè)試 310
12.1 SSL/TLS弱加密、傳輸層協(xié)議缺陷測(cè)試（OTG-CRYPST-001） 310
12.1.1 SSL/TLS弱加密、傳輸層協(xié)議缺陷測(cè)試概述 310
12.1.2 SSL/TLS弱加密、傳輸層協(xié)議缺陷測(cè)試方法 313
12.2 Padding Oracle攻擊測(cè)試（OTG-CRYPST-002） 342
12.2.1 Padding Oracle攻擊測(cè)試概述 342
12.2.2 Padding Oracle攻擊測(cè)試方法 343
12.3 通過(guò)未加密信道發(fā)送敏感數(shù)據(jù)測(cè)試（OTG-CRYPST-003） 344
12.3.1 通過(guò)未加密信道發(fā)送敏感數(shù)據(jù)測(cè)試概述 344
12.3.2 通過(guò)未加密信道發(fā)送敏感數(shù)據(jù)測(cè)試方法 345
12.4 加密體系脆弱性測(cè)試工具 347
12.5 加密體系脆弱性參考文獻(xiàn) 348
12.6 加密體系脆弱性加固措施（無(wú)） 351
第13章 業(yè)務(wù)邏輯測(cè)試 352
13.1 業(yè)務(wù)邏輯數(shù)據(jù)驗(yàn)證測(cè)試（OTG-BUSLOGIC-001） 354
13.1.1 業(yè)務(wù)邏輯數(shù)據(jù)驗(yàn)證測(cè)試概述 354
13.1.2 業(yè)務(wù)邏輯數(shù)據(jù)驗(yàn)證測(cè)試示例 355
13.1.3 業(yè)務(wù)邏輯數(shù)據(jù)驗(yàn)證測(cè)試方法 355
13.2 偽造請(qǐng)求的測(cè)試（OTG-BUSLOGIC-002） 356
13.2.1 偽造請(qǐng)求的測(cè)試概述 356
13.2.2 偽造請(qǐng)求的測(cè)試示例 357
13.2.3 偽造請(qǐng)求的測(cè)試方法 357
13.3 完整性檢查測(cè)試（OTG-BUSLOGIC-003） 358
13.3.1 完整性檢查測(cè)試概述 358
13.3.2 完整性檢查測(cè)試示例 359
13.3.3 完整性檢查測(cè)試方法 359
13.4 處理耗時(shí)測(cè)試（OTG-BUSLOGIC-004） 360
13.4.1 處理耗時(shí)測(cè)試概述 360
13.4.2 處理耗時(shí)測(cè)試示例 361
13.4.3 處理耗時(shí)測(cè)試方法 361
13.5 功能使用次數(shù)限制（OTG-BUSLOGIC-005） 361
13.5.1 功能使用次數(shù)限制概述 361
13.5.2 功能使用次數(shù)限制示例 362
13.5.3 功能使用次數(shù)限制測(cè)試方法 362
?
13.6 工作流程逃逸的測(cè)試（OTG-BUSLOGIC-006） 362
13.6.1 工作流程逃逸的測(cè)試概述 362
13.6.2 工作流程逃逸的測(cè)試示例 363
13.6.3 工作流程逃逸的測(cè)試方法 363
13.7 防御應(yīng)用程序?yàn)E用測(cè)試（OTG-BUSLOGIC-007） 364
13.7.1 防御應(yīng)用程序?yàn)E用測(cè)試概述 364
13.7.2 防御應(yīng)用程序?yàn)E用測(cè)試示例 364
13.7.3 防御應(yīng)用程序?yàn)E用測(cè)試方法 365
13.8 意外文件類型上傳測(cè)試（OTG-BUSLOGIC-008） 366
13.8.1 意外文件類型上傳測(cè)試概述 366
13.8.2 意外文件類型上傳測(cè)試示例 367
13.8.3 意外文件類型上傳測(cè)試方法 367
13.9 惡意文件上傳測(cè)試（OTG-BUSLOGIC-009） 367
13.9.1 惡意文件上傳測(cè)試概述 367
13.9.2 惡意文件上傳測(cè)試示例 368
13.9.3 惡意文件上傳測(cè)試方法 368
13.10 業(yè)務(wù)邏輯測(cè)試工具 369
13.11 業(yè)務(wù)邏輯測(cè)試參考文獻(xiàn) 371
13.12 業(yè)務(wù)邏輯測(cè)試加固措施 376
第14章 客戶端測(cè)試 378
14.1 基于DOM的跨站腳本測(cè)試（OTG-CLIENT-001） 378
14.1.1 基于DOM的跨站腳本測(cè)試概述 378
14.1.2 基于DOM的跨站腳本的測(cè)試方法 378
14.2 JavaScript執(zhí)行測(cè)試（OTG-CLIENT-002） 381
14.2.1 JavaScript執(zhí)行測(cè)試概述 381
14.2.2 JavaScript執(zhí)行測(cè)試方法 381
14.3 HTML注入測(cè)試（OTG-CLIENT-003） 382
14.3.1 HTML注入測(cè)試概述 382
14.3.2 HTML注入測(cè)試方法 382
14.4 客戶端URL重定向測(cè)試（OTG-CLIENT-004） 384
14.4.1 客戶端URL重定向測(cè)試概述 384
14.4.2 客戶端URL重定向測(cè)試方法 384
14.5 CSS注入測(cè)試（OTG-CLIENT-005） 385
14.5.1 CSS注入測(cè)試概述 385
14.5.2 CSS注入測(cè)試方法 386
14.6 客戶端資源處理測(cè)試（OTG-CLIENT-006） 388
14.6.1 客戶端資源處理測(cè)試概述 388
14.6.2 客戶端資源處理測(cè)試方法 388
14.7 跨源資源共享測(cè)試（OTG-CLIENT-007） 390
14.7.1 跨源資源共享測(cè)試概述 390
14.7.2 跨源資源共享測(cè)試方法 391
14.8 跨站Flash測(cè)試（OTG-CLIENT-008） 395
14.8.1 跨站Flash測(cè)試概述 395
14.8.2 跨站Flash測(cè)試方法 395
14.9 點(diǎn)擊劫持測(cè)試（OTG-CLIENT-009） 401
14.9.1 點(diǎn)擊劫持測(cè)試概述 401
14.9.2 點(diǎn)擊劫持測(cè)試方法 402
14.10 WebSockets測(cè)試（OTG-CLIENT-010） 411
14.10.1 WebSockets測(cè)試概述 411
14.10.2 WebSockets測(cè)試方法 412
14.11 Web消息測(cè)試（OTG-CLIENT-011） 414
14.11.1 Web消息測(cè)試概述 414
14.11.2 Web消息測(cè)試方法 415
14.12 本地存儲(chǔ)測(cè)試（OTG-CLIENT-012） 417
14.12.1 本地存儲(chǔ)測(cè)試概述 417
14.12.2 本地存儲(chǔ)測(cè)試方法 417
14.13 客戶端測(cè)試工具 419
14.14 客戶端測(cè)試參考文獻(xiàn) 421
14.15 客戶端測(cè)試加固措施 425
第三部分 測(cè)試報(bào)告
第15章 報(bào)告 428
附錄A 測(cè)試工具 430
附錄B 推薦讀物 439
附錄C 模糊測(cè)試向量 444
附錄D 編碼注入 452
附錄E 測(cè)試項(xiàng)列表 455

游客，如果您要查看本帖隱藏內(nèi)容請(qǐng)回復(fù)

梅川酷子

謝謝分享···················

冰疙瘩

來(lái)晚了看還能弄到不

nanfangcike

111111111

106721

餓我去惡趣味去問(wèn)

qq1879371216

sf`~~~~~~~~~~~~~~~~~~~~~~~~~~~

Mrxiaohui

需要學(xué)習(xí)，謝謝樓主共享

Mrxiaohui

樓主，已經(jīng)是取消分享，可以再發(fā)一份嘛？

dadaozhijian

asdfsafa

wyp-sky

謝謝樓主分享