本书分为五个部分：第一部分提供了本书的概述并阐明了本书的主要框架。第二部分为“测试计划”，并涉及围绕着计划测试效果的一些相关事项。第三部分“测试设计”是本书的重点，大部分内容为详细列举的各种各样的可选测试，这一部分包括了第3、4、5、6、7、8章。第四部分是“测试实施”，讲述如何最好地执行这些测试，即由谁来实际做这些工作、需要使用什么工具以及以什么顺序执行测试（排列测试优先级），这部分包括第9章和第10章。在全书的最后，还附有丰富的附录，提供了大量的背景知识。
　　本书使用了最新的材料，书中所列各种测试方法都有实际的步骤及具体的项目，因而操作性较强，是一本不可多得的好书。本书适合专业的网站安全评估人员阅读，对于各公司的CIO、系统管理员以及广大的网络技术研究者也很有参考价值。
　　计划安全测试的效果：策略、测试团队以及工具
　　如何定义项目的范围
　　测试网络安全和系统软件的配置
　　检查Web应用的安全性漏洞
　　评估一个组织如何有效防范那些使用社会工程、垃圾搜寻、内部同谋以及物理破坏方式的攻击
　　有关对那些用来混淆入侵者的设计进行测试的独特挑战
　　使用风险分析来关注对组织具有最大威胁的领域的测试效果。

随着Internet的不断发展，越来越多的企业把他们充满宣传材料只起推广作用的站点逐步改造成了担负重要任务的网站。设计网站是为了获得新的利润和整合现有的系统。实现这些整体目标的人所面临的最严峻的挑战之一，就是确保这些新的店面免遭攻击和不当使用。
不幸的是，现在需要测试安全漏洞的网站数目远远多于那些有足够经验完成这种测试的安全专家的人数。这意味着很多网站及其应用程序往往没有经过充分的测试，或者根本没有进行过测试。实际上，这些企业在玩“黑客轮盘赌”的游戏，仅仅希望自己走运罢了。
没有足够的专家进行网站及其应用程序的安全测试，其中一个重要原因是缺少入门级的书。现在面市的图书不是面向高层的，就是面向底层的。前者偏重战略性，定位于高级管理人员和首席架构师，他们设计系统的高度实用性。而后者则极端技术化，定位于实现这些设计的有经验的开发人员和网络工程师。
本书是一本简明易懂、易于按步操作的书，任何初涉安全测试领域的人都可以轻松读懂。我的第一本书《The Web Testing Handbook》（与Stefan Jaskiel合著，2001）的读者会发现我在本书中保留了第一本书的列表格式。因为我发现这种列表格式是如此地广受欢迎，所以希望保留这种列表格式会使安全测试人员更容易确保开发人员和网络工程师实现一个系统，而这个系统恰恰能够满足用户和设计者所构想的明确的或暗含的安全目标。

Steven Splaine

现在，越来越多的企业使用基于Internet或基于内联网的应用程序，人们逐渐意识到自己已经暴露在新的或渐增的系统质量风险中，尤其是在性能方面和安全方面存在隐忧。Steven Splaine的新书：《The Web Testing Handbook》提供给读者建议和技术来测试性能，并考虑其他很多重要的有关网站测试的问题，例如实用性。而在本书中，Steven关注的是最关键的问题—网站测试。
相当多的用户甚至于网站应用程序的测试人员都认为：要解决Web安全问题，仅需买个防火墙并接上各种连线就行了。在本书里，Steven认为这是“防火墙神话”，而我在自己的测试、咨询和培训工作中，曾见过相信这种神话的受害者。本书不仅有助于打破这种神话，而且也提供了可以采取的实用步骤，这些步骤可以使你在网络上发现并解决安全问题。客户端、服务器端、Internet、内联网、外部的黑客及其入侵方法、软件、硬件、网络和社会工程，这些内容都是本书要讨论的问题。如何进行一个渗透性测试？怎样评估每个潜在的安全漏洞的特有风险等级，并正确地测试它们？当面对一个现有的系统或创建一个新系统时，应如何监控发生的每件事情？而这一桩桩一件件的事情，每件都可能引发各式各样的麻烦。本书会成为我下一个网站测试项目的重要资源。如果你正在负责一个网站系统的安全或正在测试一个网站系统的安全性，我相信本书定会对你有所帮助。

Rex Black
Rex Black咨询公司（Bulverde, Texas）

（美）Steven Splaine：暂无简介

李昂 王梅蓉 金旭：暂无简介

Internet已经成为人类所构建的最丰富多彩的虚拟世界，在世界各地，用户的数目正在飞速增长。而Web作为Internet上最主要的服务，已经成为万众瞩目的焦点和Internet的象征。几乎所有的政府、公司、机构，甚至是个人都建立了自己的Web站点。据报道，现在Web的内容正以每天两百万页的速度增加。随着Internet及Web一同发展起来的还有安全问题，每天都在发生的黑客入侵及篡改网页等问题越来越引起了人们的关注，因为随着Web内容的增加、应用程序功能的丰富和用户的普及，安全问题已经不容忽视。
很多公司的管理者甚至一些技术人员都认为只要有一个防火墙保护就能保证网络的安全。其实不然，尽管建立防火墙是必不可少的安全措施，但防火墙不是万能的，在某些情况下它也会失效，例如：在网站上运行的应用程序有缺陷、防火墙配置不当或有心怀不满的内部人员。还曾经有人说过：只要有足够的时间，任何网站都可以被攻破。不幸的是，现在需要测试安全漏洞的网站的数目远远多于那些有足够经验完成这样一种测试的安全专家的人数，这意味着很多网站及其应用程序往往没有经过充分的测试，或者根本没有进行过测试。
因此，对网站的安全进行全面的测试评估和规划部署是一件非常必要的工作。本书作者Steven Splaine是一位经验丰富的网络安全专家，在本书中，他通过很多例子和详细的检查列表向读者介绍了全面的安全测试方法。本书不同于那些泛泛而谈的图书，本书介绍的方法具有极强的可操作性，相信各位读者看完全书后也会有自己的体会。
本书共分五个部分：第一部分介绍本书的框架；第二部分介绍测试计划；第三部分是本书的重点，作者在此用了六章的篇幅详细列举各种各样的可选测试；第四部分为测试实施，告诉读者如何进行实际操作；第五部分为附录，提供附加的背景知识。
我们相信，本书不仅对系统管理员、安全测试人员会有很大的帮助，而且对于网站设计开发人员、各公司主管网络技术的经理也有较大参考价值。希望本书的翻译出版能为提高国内迅速发展的Web网站的安全水平做出一点贡献。
全书由李昂、王梅蓉、金旭、陈长春、郭龙永、王冶、李鹃君、常欣、李桦、时丁、李海涛、文静、李祥、刘海宁、丁镇兴等进行翻译，前导工作室全体工作人员共同完成了本书的翻译、录排、校对等工作。本书最后由宋涛统稿。由于时间仓促，且译者的水平有限，在翻译过程中难免会出现一些错误，请读者批评指正。

宋　 涛
2003年1月

第一部分　 本 书 概 述
第1章　 概述 3
1.1　 本书的目的 4
1.2　 本书的测试方法 5
1.3　 本书的组织 6
1.4　 本书所用的术语 7
1.4.1　 黑客、破解者、脚本玩家及心怀不满
的内部人员 7
1.4.2　 测试词汇 8
1.5　 本书的读者对象 10
1.6　 小结 10
第二部分　 计划测试效果
第2章　 测试计划 13
2.1　 需求 13
2.1.1　 澄清要求 13
2.1.2　 安全策略 14
2.2　 测试计划的结构 15
2.2.1　 测试计划标识 17
2.2.2　 介绍 17
2.2.3　 项目范围 17
2.2.4　 变动控制过程 18
2.2.5　 待测的特性 18
2.2.6　 不测的特性 19
2.2.7　 方法 19
2.2.8　 通过/未通过标准 22
2.2.9　 暂停标准和重置要求 23
2.2.10　 测试交付物 23
2.2.11　 环境需要 27
2.2.12　 配置管理 27
2.2.13　 责任 29
2.2.14　 提供人员和培训需要 30
2.2.15　 进度 31
2.2.16　 项目结束 31
2.2.17　 预计风险和应急措施 32
2.2.18　 情况 33
2.2.19　 假设 33
2.2.20　 约束和依赖 33
2.2.21　 简写和定义 33
2.2.22　 引用 34
2.2.23　 批准 34
2.3　 主测试计划 34
2.4　 小结 35
第三部分　 测 试 设 计
第3章　 网络安全 39
3.1　 界定方法 40
3.2　 界定样例 41
3.2.1　 旅馆连锁店 41
3.2.2　 家具制造厂 42
3.2.3　 会计公司 42
3.2.4　 搜索引擎 43
3.2.5　 测试实验室 43
3.2.6　 暂停标准 44
3.3　 设备清单 44
3.4　 网络拓扑 46
3.5　 确认网络设计 47
3.5.1　 网络设计修订 48
3.5.2　 网络设计检验 48
3.6　 核对设备清单 49
3.6.1　 物理位置 49
3.6.2　 未授权的设备 50
3.6.3　 网络地址 51
3.7　 核对网络拓扑 53
3.7.1　 网络连接 53
3.7.2　 设备可访问性 54
3.8　 补充的网络安全 56
3.8.1　 网络地址破坏 56
3.8.2　 安全的LAN通信 58
3.8.3　 无线网段 59
3.8.4　 DoS攻击 59
3.9　 小结 62
第4章　 系统软件安全 65
4.1　 安全认证 65
4.2　 补丁 66
4.3　 强化 69
4.4　 屏蔽 70
4.5　 服务 72
4.6　 目录和文件 77
4.7　 用户ID与密码 79
4.7.1　 手工猜测用户ID和密码 80
4.7.2　 自动猜测用户ID和密码 82
4.7.3　 经由社会工程获得信息 84
4.7.4　 心怀不满的雇员策划违法行为 84
4.8　 用户组 85
4.9　 小结 85
第5章　 客户端应用程序安全 87
5.1　 应用程序攻击点 87
5.2　 客户端识别和验证 88
5.2.1　 基于用户知道的信息：knows-something
方法 89
5.2.2　 基于用户拥有的东西：has-something
方法 89
5.2.3　 基于用户是什么的特性：生物测定学
方法 92
5.3　 用户许可 93
5.3.1　 功能限制 93
5.3.2　 数据限制 94
5.3.3　 功能和数据交叉限制 94
5.4　 测试非法导航 95
5.4.1　 HTTP报头分析 95
5.4.2　 HTTP报头期满 95
5.4.3　 客户端应用程序代码 96
5.4.4　 Session ID 96
5.4.5　 导航工具 96
5.5　 客户端数据 97
5.5.1　 cookie 98
5.5.2　 hidden字段 99
5.5.3　 URL 99
5.5.4　 本地数据文件 100
5.5.5　 Windows注册表 100
5.6　 安全的客户端传输 100
5.6.1　 数字证书 101
5.6.2　 加密强度 101
5.6.3　 混合加密和未加密内容 102
5.6.4　 避免加密瓶颈 103
5.7　 移动式应用程序代码 104
5.7.1　 ActiveX控件 105
5.7.2　 Java applet 105
5.7.3　 客户端脚本 107
5.7.4　 探测特洛伊木马移动式代码 107
5.8　 客户端安全 110
5.8.1　 防火墙 110
5.8.2　 浏览器安全设置 111
5.8.3　 客户端自适应代码 113
5.8.4　 客户端嗅探 114
5.9　 小结 114
第6章　 服务器端应用程序安全 117
6.1　 CGI 117
6.1.1　 语言选择 118
6.1.2　 CGI与输入数据 119
6.1.3　 许可和目录 120
6.1.4　 可扩充性 121
6.2　 第三方CGI脚本 122
6.3　 服务器端包含 123
6.4　 动态代码 127
6.4.1　 查看模板 127
6.4.2　 单点失败 128
6.4.3　 系统命令 128
6.4.4　 示范脚本 128
6.4.5　 有用的错误消息 128
6.5　 应用程序代码 129
6.5.1　 可编译源代码 129
6.5.2　 不可编译的源代码 129
6.5.3　 版权 130
6.5.4　 有用的错误消息 131
6.5.5　 旧版本 131
6.6　 输入数据 131
6.6.1　 无效数据类型 132
6.6.2　 无效范围 132
6.6.3　 缓冲区溢出 133
6.6.4　 扩展符 138
6.7　 服务器端数据 141
6.7.1　 数据文件名 141
6.7.2　 数据绊网 142
6.7.3　 数据保险箱 142
6.7.4　 WORM 142
6.7.5　 数据加密 143
6.7.6　 数据伪装 143
6.7.7　 数据安全岛 144
6.7.8　 分布式的拷贝 144
6.7.9　 碎片数据 144
6.7.10　 由数据库管理系统加强的约束 144
6.7.11　 过滤的索引 145
6.8　 应用程序级入侵者侦查 146
6.9　 小结 147
第7章　 潜在的攻击：防范很少考虑的安全
威胁 149
7.1　 打击社交工程 149
7.1.1　 通过电话 149
7.1.2　 通过电子邮件 150
7.1.3　 通过额外的信件 151
7.1.4　 欺骗个人 151
7.2　 处理Dumpster Diver 152
7.2.1　 对纸张的合适处理 153
7.2.2　 清理头脑风暴会议之后的遗留信息 153
7.2.3　 正确处置电子硬件设备 153
7.3　 提防内部同谋 154
7.3.1　 预防措施和威慑手段 155
7.3.2　 探测措施 156
7.3.3　 补救和检举措施 156
7.4　 防止物理攻击 157
7.4.1　 设备的安全保护 158
7.4.2　 硬件的安全保护 160
7.4.3　 软件的安全保护 160
7.4.4　 数据的安全保护 161
7.5　 对自然灾难的预防 161
7.6　　防止恶意破坏 162
7.7　 小结 162
第8章　 入侵者混淆、探测和响应 165
8.1　 入侵者混淆 165
8.1.1　 动态防护 165
8.1.2　 欺骗性防护 166
8.1.3　 honey pot 166
8.1.4　 侵入混淆的评价 168
8.2　 侵入探测 169
8.2.1　 侵入探测系统 169
8.2.2　 审计跟踪 171
8.2.3　 绊网与校验和 173
8.2.4　 有害软件 174
8.2.5　 监控 176
8.3　 侵入响应 178
8.3.1　 侵入确认 178
8.3.2　 破坏遏制 178
8.3.3　 破坏评估和法律调查 179
8.3.4　 破坏控制和恢复 181
8.3.5　 系统抢救和恢复 181
8.3.6　 通知 182
8.3.7　 起诉和反攻击 183
8.3.8　 策略检查 183
8.4　 小结 184
第四部分　 测 试 实 施
第9章　 评估和渗透选择 187
9.1　 人员选择 187
9.1.1　 自己做 187
9.1.2　 请专业公司做 188
9.1.3　 自己做和请专业公司做结合的测试
方法 194
9.2　 测试工具 195
9.2.1　 人工方法 195
9.2.2　 自动方法 195
9.2.3　 工具评价 197
9.3　 小结 201
第10章　 风险分析 203
10.1　 重用 203
10.1.1　 资产审核 204
10.1.2　 漏洞树和攻击树 204
10.1.3　 差距分析 206
10.2　 测试优先级 207
10.2.1　 设备清单 207
10.2.2　 威胁 208
10.2.3　 业务影响 210
10.2.4　 风险可能性 212
10.2.5　 计算相对危险程度 213
10.2.6　 标识和指定候选测试 215
10.2.7　 优先级修改 215
10.2.8　 测试时间表 216
10.2.9　 FMECA 217
10.3　 小结 218
第五部分　 附　　　录
附录A　 网络协议、地址和设备概述 221
附录B　 SANS评出的前20种关键的Internet
安全漏洞 235
附录C　 可交付的测试模板 237
附录D　 其他资源 241