安全漏洞追蹤

第1章 安全測試的一般方法 1
1.1 安全測試人員的不同類型 2
1.2 一種安全測試的方法 3
1.2.1 深入理解測試的內容 4
1.2.2 從攻擊者的角度思考如何攻擊目標 6
1.2.3 攻擊產品 8
1.2.4 時刻關注新的攻擊 8
1.3 小結 9

第2章 利用威脅模型進行安全測試 10
2.1 威脅建模 10
2.2 測試人員如何對威脅模型分級 11
2.3 數(shù)據流程圖 12
2.4 入口點和退出點的安全 13
2.5 識別威脅的技巧及常見威脅 14
2.6 測試人員如何利用一個完整的威脅模型 16
2.7 技術實現(xiàn)難以符合產品規(guī)范或威脅模型 19
2.8 小結 20

第3章 查找入口點 21
3.1 查找入口點并劃分等級 22
3.2 常見入口點 23
3.2.1 文件 23
3.2.2 套接字（Socket） 27
3.2.3 HTTP請求 29
3.2.4 命名管道 32
3.2.5 可插入協(xié)議處理程序 35
3.2.6 惡意服務器響應 37
3.2.7 程序化接口 38
3.2.8 SQL 39
3.2.9 注冊表 39
3.2.10 用戶接口 41
3.2.11 E-mail 42
3.2.12 命令行參數(shù) 44
3.2.13 環(huán)境變量 45
3.3 小結 47

第4章 成為惡意的客戶端 48
4.1 客戶端/服務器交互 48
4.1.1 發(fā)現(xiàn)服務器正常接收的請求 49
4.1.2 操縱網絡請求 51
4.2 測試HTTP 55
4.2.1 理解無狀態(tài)協(xié)議 56
4.2.2 接收輸入的測試方法 56
4.3 快速測試特定的網絡請求 66
4.4 測試技巧 68
4.5 小結 69

第5章 成為惡意的服務器 70
5.1 理解客戶端接收惡意服務器響應的常見方法 71
5.2 SSL能否阻止惡意服務器的攻擊 73
5.3 操縱服務器響應 73
5.4 惡意響應漏洞的例子 74
5.5 錯誤認識：對攻擊者來說創(chuàng)建惡意服務器非常困難 76
5.6 理解降級（Downgrade）MITM攻擊 77
5.7 測試技巧 78
5.8 小結 79

第6章 欺騙 80
6.1 掌握欺騙問題的重要性 80
6.2 尋找欺騙問題 82
6.3 常見欺騙案例 82
6.3.1 IP地址欺騙 83
6.3.2 MAC地址欺騙 84
6.3.3 利用網絡協(xié)議欺騙 85
6.4 用戶接口（User Interface，UI）欺騙 88
6.4.1 重構對話框 88
6.4.2 Z-Order欺騙 93
6.4.3 讓人誤解的URL和文件名 94
6.5 測試技巧 97
6.6 小結 97

第7章 信息泄露 98
7.1 信息泄露問題 98
7.2 定位信息泄露的常見區(qū)域 99
7.2.1 文件泄露 99
7.2.2 網絡泄露 107
7.3 識別重要的數(shù)據 111
7.3.1 數(shù)據混淆 112
7.3.2 隱含泄露 113
7.4 小結 113

第8章 緩沖區(qū)溢出及堆棧/堆操縱 114
8.1 了解溢出的工作原理 117
8.1.1 堆棧溢出 118
8.1.2 整型溢出 121
8.1.3 堆溢出 128
8.1.4 其他攻擊 129
8.2 溢出測試：在哪里尋找（測試）用例 130
8.2.1 網絡 130
8.2.2 文檔與文件 131
8.2.3 較高權限和較低權限用戶之間的共享信息 131
8.2.4 可編程接口 132
8.3 黑盒（功能）測試 133
8.3.1 確定期待的是什么數(shù)據 133
8.3.2 使用你能識別的數(shù)據 134
8.3.3 了解界限與邊界 134
8.3.4 保持全部數(shù)據的完整性 137
8.3.5 改造正常數(shù)據使其溢出的策略 141
8.3.6 測試首要行為和次要行為 143
8.3.7 要查找什么 144
8.3.8 運行時工具 156
8.3.9 模糊測試 158
8.4 白盒測試 159
8.4.1 要查找的對象 160
8.4.2 溢出的可用性 164
8.4.3 Unicode數(shù)據 169
8.4.4 已過濾的數(shù)據 170
8.5 其他主題 170
8.5.1 無代碼執(zhí)行的溢出也很嚴重 170
8.5.2 /GS編譯器開關 173
8.6 測試技巧 175
8.7 小結 176

第9章 格式化字符串攻擊 177
9.1 什么是格式化字符串 178
9.2 理解為什么格式化字符串存在問題 178
9.2.1 剖析prinf調用 179
9.2.2 堆棧解析錯誤 180
9.2.3 內存覆蓋 182
9.3 格式化字符串安全漏洞測試 183
9.3.1 代碼檢查 183
9.3.2 黑盒測試 184
9.4 走查（Walkthrough）：經歷一個格式化字符串攻擊過程 185
9.4.1 尋找格式化字符串漏洞 185
9.4.2 分析可利用性 186
9.4.3 深度挖掘：圍繞可利用性問題進行工作 189
9.4.4 構建一個簡單的負載 201
9.5 測試技巧 208
9.6 小結 209

第10章 HTML腳本攻擊 210
10.1 理解針對服務器的反射跨站腳本攻擊 211
10.1.1 例子：一個搜索引擎中的反射XSS 212
10.1.2 理解為什么XSS攻擊是安全相關的 214
10.1.3 利用服務端的反射XSS漏洞 216
10.1.4 POST也是可利用的 218
10.2 理解針對服務器的持久性XSS攻擊 219
10.2.1 例子：在一個留言簿中的持久性XSS攻擊 220
10.2.2 利用針對服務器的持久性XSS攻擊 221
10.3 識別用于反射和持久性XSS攻擊的數(shù)據 221
10.4 程序員阻止攻擊的常用方法 224
10.5 理解針對本地文件的反射XSS攻擊 227
10.5.1 例子：本地文件中的反射XSS 228
10.5.2 利用本地文件中的反射XSS漏洞 229
10.5.3 理解為何本地XSS漏洞是一個問題 229
10.5.4 利用本地XSS漏洞在受害者的機器上運行二進制文件 232
10.5.5 HTML資源 233
10.5.6 編譯后的幫助文件 234
10.5.7 在客戶端腳本中查找XSS漏洞 236
10.6 理解本地計算機區(qū)域中的腳本注入攻擊 237
10.6.1 例子：在Winamp播放列表中的腳本注入 237
10.6.2 把非HTML文件當作HTML來解析 240
10.7 程序員用于防止HTML腳本攻擊的方法 243
10.7.1 過濾器 243
10.7.2 深入理解瀏覽器中的解析器 245
10.7.3 Style中的注釋 245
10.7.4 ASP.NET內置的過濾器 247
10.8 理解Internet Explorer如何減輕針對本地文件的XSS攻擊 248
10.8.1 從互聯(lián)網到本地計算機區(qū)域的鏈接被阻止 248
10.8.2 在默認情況下，腳本在本地計算機區(qū)域中是禁止運行的 248
10.9 識別HTML腳本的脆弱性 250
10.10 通過檢查代碼查找HTML腳本漏洞 250
10.10.1 識別所有返回內容給Web瀏覽器或者文件系統(tǒng)的位置 251
10.10.2 確定輸出中是否包含攻擊者提供的數(shù)據 251
10.10.3 檢查攻擊者的數(shù)據是否進行了適當?shù)尿炞C或者編碼 252
10.10.4 ASP.NET自動對數(shù)據進行編碼 253
10.11 小結 254

第11章 XML問題 255
11.1 測試XML輸入文件中的非XML安全問題 255
11.1.1 結構良好的XML 256
11.1.2 有效的XML 257
11.1.3 XML輸入中包括非字母數(shù)字的數(shù)據 257
11.2 測試特定的XML攻擊 260
11.2.1 實體（Entity） 260
11.2.2 XML注入（XML Injection） 263
11.2.3 大文件引用（Large File Reference） 266
11.3 簡單對象訪問協(xié)議（Simple Object Access Protocol） 266
11.4 測試技巧 271
11.5 小結 271

第12章 規(guī)范化問題 272
12.1 理解規(guī)范化問題的重要性 272
12.2 查找規(guī)范化問題 273
12.3 基于文件的規(guī)范化問題 273
12.3.1 目錄遍歷 274
12.3.2 使文件擴展名檢查失效 274
12.3.3 導致規(guī)范化問題的其他常見錯誤 277
12.4 基于Web的規(guī)范化問題 282
12.4.1 編碼問題 282
12.4.2 URL問題 287
12.5 測試技巧 290
12.6 小結 291

第13章 查找弱權限 292
13.1 理解權限的重要性 293
13.2 查找權限問題 294
13.3 理解Windows的訪問控制機制 295
13.3.1 安全對象 295
13.3.2 安全描述符 296
13.3.3 ACL 296
13.3.4 ACE 297
13.4 查找和分析對象的權限 298
13.4.1 使用Windows安全屬性對話框 298
13.4.2 使用AccessEnum 300
13.4.3 使用Process Explorer 300
13.4.4 使用ObjSD 301
13.4.5 使用AppVerifier 302
13.5 識別常見的權限問題 302
13.5.1 弱自主訪問控制列表（DACL） 303
13.5.2 NULL DACL 307
13.5.3 不恰當?shù)腁CE順序 308
13.5.4 對象創(chuàng)建者 308
13.5.5 間接訪問資源 309
13.5.6 忘記恢復原權限 309
13.5.7 蹲點（Squatting）攻擊 310
13.5.8 利用競爭條件 311
13.5.9 文件鏈接 312
13.6 確定對象的可訪問性 315
13.6.1 可遠程訪問的對象 315
13.6.2 本地可訪問對象 317
13.7 其他的權限考慮 318
13.7.1 .NET權限 318
13.7.2 SQL權限 318
13.7.3 基于角色的安全 320
13.8 小結 321

第14章 拒絕服務攻擊 322
14.1 掌握DoS攻擊的類型 322
14.1.1 查找技術實現(xiàn)缺陷 323
14.1.2 查找資源消耗缺陷 329
14.1.3 尋找解決嚴重問題的方法 335
14.2 測試技巧 336
14.3 小結 336

第15章 托管代碼問題 337
15.1 澄清有關使用托管代碼的常見錯誤認識 338
15.1.1 錯誤認識1：在托管代碼中不存在緩沖區(qū)溢出 338
15.1.2 錯誤認識2：ASP.NET Web控件可防止跨站腳本 339
15.1.3 錯誤認識3：垃圾回收可以防止內存泄露 339
15.1.4 錯誤認識4：托管代碼可防止SQL注入 340
15.2 理解代碼訪問安全的基礎 340
15.2.1 用戶安全和代碼安全的比較（User Security vs. Code Security） 341
15.2.2 CAS概況 341
15.2.3 程序（Assembly） 342
15.2.4 物證 343
15.2.5 權限 343
15.2.6 策略 344
15.2.7 全局程序集緩沖區(qū)（Global Assembly Cache） 348
15.2.8 堆棧審核（Stack Walk） 348
15.2.9 堆棧審查修改器（Stack Walk Modifier） 350
15.3 使用代碼檢查方法查找問題 352
15.3.1 調用不安全的代碼 353
15.3.2 查找斷言導致的問題 355
15.3.3 查找鏈接查詢中的問題 357
15.3.4 了解拙劣的異常處理 360
15.4 理解使用APTCA帶來的問題 362
15.5 .NET程序反編譯 368
15.6 測試技巧 368
15.7 小結 369

第16章 SQL注入 370
16.1 SQL注入的確切含義 370
16.2 了解SQL注入的重要性 372
16.3 查找SQL注入問題 373
16.3.1 利用黑盒測試方法 374
16.3.2 利用代碼檢查 385
16.4 避免SQL注入的常見錯誤 387
16.4.1 轉義輸入中的單引號 388
16.4.2 刪除分號以阻止多重語句 388
16.4.3 只使用存儲過程 389
16.4.4 刪除不必要的存儲過程 390
16.4.5 將運行SQL Server的計算機安置在防火墻之后 390
16.5 理解SQL存儲過程的再利用 391
16.5.1 示例：備份文檔 392
16.5.2 搜尋存儲過程中的再利用問題 393
16.6 識別類似的注入攻擊 393
16.7 測試技巧 394
16.8 小結 395

第17章 觀察及逆向工程 396
17.1 在沒有調試器或反匯編工具時的觀測結果 396
17.1.1 輸出比較 397
17.1.2 使用監(jiān)視工具 398
17.2 使用調試器跟蹤程序的執(zhí)行并改變其行為 399
17.2.1 修改執(zhí)行流程以旁路限制 400
17.2.2 在調試器下讀取并修改內存的內容 404
17.3 使用反編譯器或反匯編工具對一個程序實施逆向工程 408
17.3.1 理解二進制本地代碼與字節(jié)碼的區(qū)別 409
17.3.2 在沒有源代碼時定位不安全的函數(shù)調用 411
17.3.3 對算法實施逆向工程以識別安全缺陷 415
17.4 分析安全更新 417
17.5 測試技巧 418
17.6 法律方面的考慮因素 419
17.7 小結 419

第18章 ActiveX再利用攻擊 420
18.1 理解ActiveX控件 421
18.1.1 在Internet Explorer瀏覽器中創(chuàng)建ActiveX控件 421
18.1.2 ActiveX控件的初始化和腳本解析 423
18.1.3 ActiveX控件再利用 424
18.1.4 理解ActiveX控件安全模型 428
18.1.5 利用ActiveX控件測試方法學 434
18.1.6 其他的測試竅門及技術 441
18.2 走查（Walkthrough）：ActiveX控件測試 450
18.2.1 Clear 451
18.2.2 ClipboardCopy 452
18.2.3 ClipboardPaste 453
18.2.4 InvokeRTFEditor 455
18.2.5 LoadRTF 464
18.2.6 NumChars 465
18.2.7 RTFEditor 屬性 466
18.2.8 RTFEditor PARAM 467
18.2.9 RTFEditorOverride 468
18.2.10 挑戰(zhàn) 470
18.3 測試技巧 470
18.4 小結 471

第19章 其他再利用攻擊 472
19.1 理解請求外部數(shù)據的文檔格式 472
19.1.1 文檔格式請求外部數(shù)據的常見的降低風險的方法 473
19.1.2 測試請求外部數(shù)據的文檔格式 474
19.2 請求外部數(shù)據的Web頁面 475
19.2.1 通過URL查詢字符串進行的CSRF攻擊 475
19.2.2 通過POST數(shù)據進行的CSRF攻擊 476
19.2.3 防止CSRF攻擊的常用方法 477
19.2.4 通過SOAP數(shù)據進行的CSRF攻擊 478
19.2.5 對CSRF攻擊進行測試 479
19.3 理解窗口和線程消息的再利用 479
19.4 小結 480

第20章 報告安全漏洞 481
20.1 報告問題 481
20.2 聯(lián)系開發(fā)商 482
20.3 期望聯(lián)系開發(fā)商后得到什么 484
20.4 公開發(fā)布 485
20.4.1 確定細節(jié)數(shù)量 485
20.4.2 公開時間選擇 486
20.5 定位產品中的安全漏洞 486
20.5.1 與漏洞發(fā)現(xiàn)者聯(lián)系 487
20.5.2 識別漏洞產生的根本原因 487
20.5.3 尋找相關的漏洞 487
20.5.4 確定受影響的產品及其版本 488
20.5.5 測試補丁 488
20.5.6 確定減輕措施和相關工作 488
20.5.7 為所有受影響的產品及其版本同時發(fā)布補丁 489
20.6 小結 489
附錄A 相關工具 490
附錄B 安全測試用例列表 497