《模糊测试：强制性安全漏洞发掘》是一本是讨论模糊测试的专著，由美国人斯顿著述，机械工业出版社翻译并出版。本书主要内容包括：模糊测试的工作原理，模糊测试相比其他安全性测试方法的关键优势，模糊测试在查找网络协议，文件格式及Web应用安全漏洞中的技术现状等。演示了自动模糊工具的用法，并给出多个说明模糊测试强大效力的历史案例。可作为开发者，安全工程师、测试人员以及QA专业人员的参考用书。

版权信息

作者简介

编辑推荐

目录

版权信息

书 名: 模糊测试：强制性安全漏洞发掘

作　者：(美国)(MichaelSutton)斯顿(PedramAmini)

出版社： 机械工业出版社

出版时间： 2009

ISBN: 9787111257554

开本： 16

定价: 59.00 元

作者简介

MichaelSutton是SPIDynamics公司的安全布道师。他还是Web应用安全组织(WASC)的成员，负责其中的Web应用安全统计项目。

AdamGreene目前担任纽约某大型金融新闻公司的工程师。此前他曾经是iDefense公司的工程师，这是位于Reston，VA的一家智能技术公司。AdamGreene在计算机安全领域的主要研究兴趣是可靠挖掘方法，模糊测试和基于UNIX系统的审核和挖掘开发。

PedramAmini是TippingPoint公司的安全研究和产品安全评估组的项目领导。此前他曾经是iDefence实验室的主任助手，同时也是该实验室的创建者之一。他的主要兴趣是研究逆向工程——开发自动支持工具、插件和脚本。

这三位作者经常出席BlackHat安全大会井在其中做主题报告。

译者简介：

黄陇，男，博士，中国人民解放军总参陆航研究所高级工程师，北京航空航天大学软件工程研究所出站博士后，在国内重要期刊和国际会议上发表论文20余篇，曾获得全军科技进步奖，长期从事软件测试理论、方法和技术工具的研究开发，出版多部该领域的译著。

于莉莉，女，中国人民解放军第二炮兵软件测试中心资深软件测评工程师，北京航空航天大学软件工程研究所博士研究生，自2005年起先后负责十余项大型分布式军事系统软件测试项目，特别是在安全性测试领域积累了丰富的研究和工程经验。

李虎，男，博士，北京航空航天大学计算机学院讲师，北航软件测评实验室测评工程部负责人，近年来先后发表论文20余篇，其中大多被EI等著名检索机构收录，多个著名计算机科学类杂志的审稿人，主持包括国家自然科学基金在内的多项国家级科研项目，曾获国防科学技术三等奖，申请国家技术发明专利2件，获得发明专利1件，在软件工程，软件测试和质量保证领域出版专译著十余部。

编辑推荐

掌握揭露安全性缺陷的最强大技术

模糊测试现在已经发展成为一种最有效的软件安全性测试方法。模糊测试是指将一个随机的数据源作为程序的输入，然后系统地找出这些输入所引起的程序失效。著名的模糊测试专家将告诉你如何抢在别人之前使用模糊测试来揭示软件的弱点。

《模糊测试——强制性安全漏洞发掘》是第一部也是唯一一部自始至终讨论模糊测试的专著，将以往非正式的技巧转变为训练有素的最佳实践，进而将其总结为一种技术。作者首先回顾了模糊测试的工作原理并勾勒出模糊测试相比其他安全性测试方法的关键优势。然后，介绍了在查找网络协议，文件格式及Web应用安全漏洞中的先进的模糊测试，演示了自动模糊工具的用法，并给出多个说明模糊测试强大效力的历史案例。

《模糊测试——强制性安全漏洞发掘》主要内容包括：

为什么模糊测试能够简化测试设计并捕捉利用其他方法捕捉不到的软件缺陷。

模糊测试过程：从识别输入到评估“可利用性”。

理解实施有效模糊测试所要满足的需求。

比较基于变异的和基于生成的模糊器。

在模糊测试中应用并初始化环境变量和自变量。

掌握内存数据的模糊测试技术。

构建定制的模糊测试框架和工具。

实现智能的故障检测。

攻击者早已经开始使用模糊测试技术。当然，你也应该使用。不论你是一位开发者、一位安全工程师还是测试人员或QA专业人员，本书都将教会你如何构建安全的软件系统。

目录

译者序

译者简介

序言

前言

致谢

第一部分背景

第1章安全鬻洞发掘方法学

1.1白盒测试

1.1.1源代码评审

1.1.2工具和自动化

1.1.3优点和缺点

1.2黑盒测试

1.2.1人工测试

1.2.2自动测试或模糊测试

1.2.3优点和缺点

1.3灰盒测试

1.3.1二进制审核

1.3.2自动化的：进制审核

1.3.3优点和缺点

1.4小结

第2章什么是模糊测试

2.1模糊测试的定义

2.2模糊测试的历史

2.3模糊测试阶段

2.4模糊测试的局限性和期锶

2.4.1访问控制缺陷

2.4.2设计逻辑不良

2.4.3者后门

2.4.4内存破坏

2.4.5多阶段安全漏洞

2.5小结

第3章模糊测试方法和模糊器类型

3.1模糊测试方法

3.1.1预先生成测试用例

3.1.2随机方法

3.1.3协议变异人工测试

3.1.4变异或强制性测试

3.1.5自动协议生成测试

3.2模糊器类型

3.2.1本地模糊器

3.2.2远程模糊器

3.2.3内存模糊器

3.2.4模糊器框架

3.3小结

第48数据表示和分析

4.1什么是协议

42协议域

43简单文本协议

4.4二进制协议

4.5网络协议

4.6文件格式

4.7常见的协议元素

4.7.1名字一值对

4.7.2块标识符

4.7.3块长度

4.7.4经验和

4.8小结

第5章有效模糊测试的需求

5.1可重现性和文档记录

5.2可重用性

5.3过程状态和过程深度

5.4跟踪、代码覆盖和度量

5.5错误检测

5.6资源约束

5.7小结

第二部分目标和自动化

第6章自动化溯试和翻试敷据生成

第7章环境变量和参敦的模糊测试

第8章环境变量和参数的模糊测试：自动化

第9章Web应用程序和服务器模糊测试

第10章Web应用程序和服务器的模糊测试：自动化

第1l章文件格式模糊测试

第12章文件格式模糊测试：UNIX平台上的自动化测试

第13章文件格式模糊溯试：Windows平台上的自动化测试

第14章网络协议模糊测试

第15章网络协议模糊测试：UNIX平台上的自动化测试

第16章网络协议模糊测试：Windows

平台上的自动化测试

第17章Web调览器模糊测试

第18章Web浏览器的模糊溯试：自动化

第19章内存敦据的模糊测试

第20章内存数据的模糊测试：自动化

第三部分高级模糊测试技术

第21章模糊测试框架

第22章自动化协议解析

第23章模糊器跟踪

第24章智能故障检测

第四部分展望

第25章汲取的教训

第26章展望

……