[WEB安全测试](美)霍普——总结

第一部分：基础知识

第一章：绪论
阐述软件安全测试及如何应用。

第二章：工具的安装使用

第三章：基本观察
观察web应用并进入内部测试系统功能。

第四章：面向web的数据编码
介绍多种数据编码，了解web应用使用的多种方式来编码和解码数据。

第二部分：测试技术

第五章：篡改输入
恶意输入，它是如何进入你的应用？如何得知浏览器中所发生的事情及浏览器向web应用发送的内容？

第六章：自动化批量扫描
网络爬虫（spider）程序遍历你的用于以找出输入点和页面，以及对某些专门的应用实施批量测试的方法。

第七章：使用cURL实现特定任务的自动化
比如登录之后保持状态和操作cookies，并建立一项复杂任务：登录到eBay。

第八章：使用LibWWWPerl实现自动化
可以在Perl和LWP库中实现有趣安全测试，包括将病毒上传到你的应用，尝试特别长的文件名，以及解析来自你的应用响应。

第三部分：高级技术

第九章：查找缺陷
包括可预见的标识符、弱随机性及可重复事务。

第十章：攻击AJAX
注入服务端包含（SSI）、滥用LDAP和SQL注入。

第十一章：操纵会话
截获客户端的请求来测试服务器端的逻辑，反过来，通过操纵服务器的响应来测试客户端代码。

第十二章：多层面的测试
重点讨论会话、会话管理及安全测试如何对它进行攻击。