软件安全与测试 (2014年 春季)


教师

程绍银 (sycheng@ustc.edu.cn) 电三楼713室

其他资源

SEED: Developing Instructional Laboratories for Computer SEcurity EDucation
Top 100 Network Security Tools http://sectools.org/ (翻译版)


实验

实验报告提交登记

实验报告命名:学号_姓名_实验名.rar(或.zip),如PB99210001_张三_缓冲区溢出.rar。
注意:将实验报告word文档(文件名为学号_姓名_实验名.doc)以及相关的代码、截图等资料一起打包。
发送实验报告的email主题学号_姓名_实验名

课程报告

内容要求:
选择一个软件安全相关的主题,通过广泛调研,阅读相关论文,并进行分析讨论,形成课程报告。
要求内容充实,结构清晰,表达完整,文末含主要参考文献列表。
参考文献要求不少于10条,其中至少参考3篇来自于CCF推荐的软件或安全方向A类会议的3年内文章。
CCF推荐国际学术会议和期刊( 目录, 软件方向安全方向)

提交报告要求:
课程报告命名:学号_姓名_课程报告.rar(或.zip),如PB99210001_张三_课程报告.rar。
注意:将课程报告word文档(文件名为学号_姓名_课程报告.doc)以及相关的论文等资料一起打包。
发送课程报告的email主题学号_姓名_课程报告
提交时间:2014年4月27日之前

课程讲义

 
 
Part 0. 介绍
§
课程介绍 ( slides )
资源:
软件安全
Software Security: Building Security In
Software Testing (2nd edition)
 
Part 1. 软件安全
§
信息安全概述 ( slides ) (选读)
资源:
2013中国互联网安全大会
斯诺登效应的前因解读-Cyber空间相关的博弈思考
 
§
软件安全概述 ( slides )
资源:
[反汇编分析工具].Hex-Rays.IDA.Pro.v6.1.Advanced.Tools
The IDA Pro book - The Unofficial Guide to the World's Most Popular Disassembler (2nd edition)     IDA Pro权威指南
IDA Pro代码破解揭秘
 
§
缓冲区溢出 ( slides )
资源:
讲义和实验中用到的源码:打包下载
虚拟机:Debian 2.4.18 (使用前先读readme.txt)
软件漏洞利用缓解及其对抗技术演化
Exploiting Format String Vulnerabilities v1.2
Writing shellcode
AT&T汇编格式
GDB完全手册
gcc 3.3 manual
Debugging with gdb (Ninth Edition, for gdb version 20030423)
 
§
安全的软件开发生命周期 ( slides )
 
§
软件保护技术 ( slides1slides2 )
亲手教你破解软件和制作注册机 ( doc )
"PE文件格式"1.9版 完整译文(附注释) ( mht )
ELF文件格式分析 ( pdf )
资源:
分析目标:网络填表终结者
侦壳软件:language.exe
脱壳软件:AspackDie.exe
反汇编器:W32Dasm黄金中文版
16进制编辑器:UltraEdit-32 v12
调试器:OllyDbg
 
§
恶意软件 ( slides1slides2 )
资源:
病毒编写教程---Win32篇
PE文件病毒示例
Carberp Bootkit源码解析
计算机病毒原理及防治
 
§
Web代码漏洞 ( slides1slides2 )
资源:
Automatic Creation of SQL Injection and Cross-Site Scripting Attacks ( pdf )
Discuz!NT 2.5漏洞分析 ( mht )
Discuz!NT 2.5
webshell示例
 
§
安全编程 ( slides )
 
§
软件测试概述 ( slides )
 
§
软件安全性测试 ( slides )
资源:
漏洞挖掘技术--基于FileFuzz工具
测试应用程序的安全性
漏洞与APT攻击研究
学位授予和人才培养学科目录(2011年) ( doc )
国务院学位办“《一级学科简介》和《博士、硕士学位基本要求》”征求意见稿 ( rar, 0835软件工程一级学科简介 )
 
§
安全性测试实验 ( slides )
资源:
IBM Rational PurifyPlus ( slides )
实验一:使用Purify对代码进行安全性测试 ( pdf )
实验二:使用Quantify进行性能测试 ( pdf )
实验三:使用PureCoverage测试代码的覆盖率 ( pdf )
安全测试源码:飞鸽传书, 马里奥diy版
软件:PurifyPlus v7.0(解压后有一个.cue/.bin的镜像,需要用镜像工具加载到虚拟光驱中然后再安装)
IBM developerWorks 中的 Rational PurifyPlus资源页面
软件:UltraISO v9.36
 
§
软件测试:需求 & 设计 ( 需求和设计评审, 测试用例设计, 自动化测试 )
 
§
软件测试:单元 VS. 功能 ( 单元测试, 功能测试 )
资源:
JUnit三分钟教程
测试例生成实验( pdf )
 
§
软件测试:系统 & 管理 ( 系统测试, 国际化和本地化测试, 缺陷报告, 测试计划与管理 )
 
§
Android应用软件的安全性测试 ( slides )
资源:
Static Detection of Dangerous Behaviors in Android Apps ( pdf )
DroidFuzzer: Fuzzing the Android Apps with Intent-Filter Tag ( pdf )
DroidPilot: http://www.droidpilot.cn, 视频介绍
 
§
网络与协议测试 ( 网络测试技术基础, 协议测试方法学, 网络测试语言, TTCN-3简介 )
资源:
中科大TTCN实验室: http://ttcn.ustc.edu.cn
TTCN-3语言及应用,科学出版社,2014年3月。Amazon亚马逊, 京东

感谢以下单位的大力支持

中国科学技术大学, Intel Corporation
  
Last modified: April 22, 2014

Copyright (C) 2012-2014 sycheng@ustc.edu.cn. All Rights Reserved.