内容简介

软件安全问题也许是这个时代面临的最为重要的技术挑战。Web应用程序让业务、社交等网络活动飞速发展，这同时也加剧了它们对软件安全的要求。我们急需建立一个强大的方法来编写和保护我们的互联网、Web应用程序和数据，并基于工程和科学的原则，用一致的、可重复的和定义的方法来测试软件安全问题。本书正是实现这个目标的重要一步，作为一本安全测试指南，详细讲解了Web应用测试的“4W1H”，即“什么是测试”、“为什么要测试”、“什么时间测试”、“测试哪里”以及“如何测试”。本书适合高等院校计算机相关专业师生阅读，也适合广大软件开发人员、测试人员以及所有对软件安全问题感兴趣的读者阅读。

图书目录

第一部分 项目概述及测试框架

第1章 OWASP测试项目 2

1.1 OWASP测试项目概述 2

1.2 测试原则 5

1.3 测试技术说明 9

1.3.1 测试技术说明概述 9

1.3.2 人工检查及复查 9

1.3.3 软件威胁建模 10

1.3.4 代码审查 11

1.3.5 渗透测试 12

1.3.6 需要平衡的测试方法 13

1.3.7 关于Web应用扫描工具的注意事项 14

1.3.8 关于静态源代码复查工具的注意事项 15

1.3.9 安全测试需求推导 15

1.3.10 功能和非功能测试需求 18

1.3.11 安全测试集成于开发与测试工作流程 21