软件安全测试艺术

作者 [美]威斯波尔著程永敬译
出版社机械工业出版社
出版时间 2007年8月第1版
ISBN 9787111219736
定价 32.00

内容简介

本书深入讲解软件安全方面最新的实用技术，用于在破坏之前预防并识别软件的安全问题。本书作者具有近十年应用和渗透测试方面的经验，从简单的“验证”性测试方法讲起，进而介绍先发制人的“攻击”性测试方法。作者首先系统地回顾了软件中出现的设计和编码方面的安全漏洞，并提供了避免出现这些安全漏洞的实用指导。然后，向读者展示了定制用户化软件调试工具的方法，用以对任何程序的各个方面独立地进行测试，之后对结果进行分析，从而识别可被利用的安全漏洞。主要内容●如何从软件攻击者的角度来思考从而增强防御策略。●兼顾成本效益，将安全测试整合到软件开发的生命周期。●基于最高风险领域，使用威胁模型来排定测试的优先顺序。●构建用于进行白盒测试、灰盒测试和黑盒测试的软件测试实验。●针对每个测试工程，选用恰当的工具。●执行当前主要的软件攻击，从故障注入到缓冲区溢出。●哪些缺陷在现实世界中最可能被攻击者利用。本书是每一个负责软件安全的技术人员必备的读物：无论是测试人员、QA专家、安全从业者、开发人员，还是其他相关的人员。对于IT管理人员，本书提供了经实践检验的行动计划，用于实现有效安全测试或加强现有测试流程。

作者简介

ChrisWysopal，是Veracode公司CTO。曾任@stake公司的研发副总。他领导了无线、架构及应用程序安全工具的开发。他是LophtCrack密码审计攻击的合作开发者。他曾在美国国会进行过安全声明，并曾在BlackHat大会和西点军校讲演。LucasNelson，是Symantec公司的纽约地区技术经理，他领导着Semantec的ApplicationSecurityCenterOfExcellence（卓越应用程序安全中心），该中心主要开发一些应用程序安全实践和指导原则，并对新员工进行应用程序测试方法的培训。DinoDaiZovi，是Matasano安全公司的主要成员，为企业和供应商提供软件安全化服务。他是在MacOSX、802.11以及硬件可视化方面受人尊敬的研究人员和权威。Dino经常出席包括BlackHat和Microsoft公司的BlueHat等大会。ElfriedeDustin，是《EffectiveSoftwareTesting》一书的作者，也是《AutomatedSoftwareTesting》和《QualityWebSystems》这两本书的第一作者。他是自动化测试生命周期方法（ATLM）的创始人。