软件安全与测试

软件安全与测试 (2014年春季) English

教师

程绍银 (sycheng@ustc.edu.cn) 电三楼713室

其他资源

SEED: Developing Instructional Laboratories for Computer SEcurity EDucation
Top 100 Network Security Tools http://sectools.org/ (翻译版)

实验

实验报告提交登记

实验报告命名：学号_姓名_实验名.rar(或.zip)，如PB99210001_张三_缓冲区溢出.rar。
注意：将实验报告word文档（文件名为学号_姓名_实验名.doc）以及相关的代码、截图等资料一起打包。
发送实验报告的email主题：学号_姓名_实验名。

课程报告

内容要求：
选择一个软件安全相关的主题，通过广泛调研，阅读相关论文，并进行分析讨论，形成课程报告。
要求内容充实，结构清晰，表达完整，文末含主要参考文献列表。
参考文献要求不少于10条，其中至少参考3篇来自于CCF推荐的软件或安全方向A类会议的3年内文章。
CCF推荐国际学术会议和期刊( 目录, 软件方向，安全方向)

提交报告要求：
课程报告命名：学号_姓名_课程报告.rar(或.zip)，如PB99210001_张三_课程报告.rar。
注意：将课程报告word文档（文件名为学号_姓名_课程报告.doc）以及相关的论文等资料一起打包。
发送课程报告的email主题：学号_姓名_课程报告。
提交时间：2014年4月27日之前。

课程讲义


Part 0. 介绍
§	课程介绍 ( slides ) 资源: 软件安全 Software Security: Building Security In Software Testing (2nd edition)

Part 1. 软件安全
§	信息安全概述 ( slides ) (选读) 资源: 2013中国互联网安全大会斯诺登效应的前因解读-Cyber空间相关的博弈思考

§	软件安全概述 ( slides ) 资源: [反汇编分析工具].Hex-Rays.IDA.Pro.v6.1.Advanced.Tools The IDA Pro book - The Unofficial Guide to the World's Most Popular Disassembler (2nd edition) IDA Pro权威指南 IDA Pro代码破解揭秘

§	缓冲区溢出 ( slides ) 资源: 讲义和实验中用到的源码：打包下载虚拟机：Debian 2.4.18 (使用前先读readme.txt) 软件漏洞利用缓解及其对抗技术演化 Exploiting Format String Vulnerabilities v1.2 Writing shellcode AT&T汇编格式 GDB完全手册 gcc 3.3 manual Debugging with gdb (Ninth Edition, for gdb version 20030423)

§	安全的软件开发生命周期 ( slides )

§	软件保护技术 ( slides1，slides2 ) 亲手教你破解软件和制作注册机 ( doc ) "PE文件格式"1.9版完整译文(附注释) ( mht ) ELF文件格式分析 ( pdf ) 资源: 分析目标：网络填表终结者侦壳软件：language.exe 脱壳软件：AspackDie.exe 反汇编器：W32Dasm黄金中文版 16进制编辑器：UltraEdit-32 v12 调试器：OllyDbg

§	恶意软件 ( slides1，slides2 ) 资源: 病毒编写教程---Win32篇 PE文件病毒示例 Carberp Bootkit源码解析计算机病毒原理及防治

§	Web代码漏洞 ( slides1，slides2 ) 资源: Automatic Creation of SQL Injection and Cross-Site Scripting Attacks ( pdf ) Discuz!NT 2.5漏洞分析 ( mht ) Discuz!NT 2.5 webshell示例

§	安全编程 ( slides )

Part 2. 软件测试

§	软件测试概述 ( slides )

§	软件安全性测试 ( slides ) 资源: 漏洞挖掘技术--基于FileFuzz工具测试应用程序的安全性漏洞与APT攻击研究学位授予和人才培养学科目录（2011年） ( doc ) 国务院学位办“《一级学科简介》和《博士、硕士学位基本要求》”征求意见稿 ( rar, 0835软件工程一级学科简介 )

§	安全性测试实验 ( slides ) 资源: IBM Rational PurifyPlus ( slides ) 实验一：使用Purify对代码进行安全性测试 ( pdf ) 实验二：使用Quantify进行性能测试 ( pdf ) 实验三：使用PureCoverage测试代码的覆盖率 ( pdf ) 安全测试源码：飞鸽传书, 马里奥diy版软件：PurifyPlus v7.0(解压后有一个.cue/.bin的镜像，需要用镜像工具加载到虚拟光驱中然后再安装) IBM developerWorks 中的 Rational PurifyPlus资源页面软件：UltraISO v9.36

§	软件测试：需求 & 设计 ( 需求和设计评审, 测试用例设计, 自动化测试 )

§	软件测试：单元 VS. 功能 ( 单元测试, 功能测试 ) 资源: JUnit三分钟教程测试例生成实验( pdf )

§	软件测试：系统 & 管理 ( 系统测试, 国际化和本地化测试, 缺陷报告, 测试计划与管理 )

§	Android应用软件的安全性测试 ( slides ) 资源: Static Detection of Dangerous Behaviors in Android Apps ( pdf ) DroidFuzzer: Fuzzing the Android Apps with Intent-Filter Tag ( pdf ) DroidPilot: http://www.droidpilot.cn, 视频介绍

§	网络与协议测试 ( 网络测试技术基础, 协议测试方法学, 网络测试语言, TTCN-3简介 ) 资源: 中科大TTCN实验室: http://ttcn.ustc.edu.cn TTCN-3语言及应用，科学出版社，2014年3月。Amazon亚马逊, 京东

感谢以下单位的大力支持

中国科学技术大学, Intel Corporation

Last modified: April 22, 2014