网络安全专家·网络安全专家：黑客入侵网页攻防修炼

图书标准信息

• 作者 德瑞工作室 编
• 出版社 电子工业出版社
• 出版时间 2008-06
• 版次 1
• ISBN 9787121067648
• 定价 38.00元
• 装帧 平装
• 开本 16开
• 纸张 胶版纸
• 页数 298页
• 字数 442千字
• 正文语种 简体中文

【内容简介】

　　将PHP的技术技巧与Web应用相结合，分别对黑客的入侵和页面设计时的防范措施进行了深入浅出的分析，通过实例演示了包括CommandInjection、ScriptInsertion、XSS、SQLInjection、CSRF、SessionHijacking和HTTPResponseSplitting等在内的18种技术，这其中包含了作者对网页安全的独到见解。《网络安全专家·黑客入侵网页攻防修炼》以一种清晰而简练的风格介绍了黑客惯用的技术要点，通过大量的示例演示了这种入侵是如何发生的，并指导读者如何防止类似问题的发生。在透彻地介绍基础知识的同时，还加入了作者自己的应用经验，可以大大提高读者的编程能力和应用水平。

【目录】

第1章PHP网页的安全性
1.1什么是安全性
1.1.1黑客攻击的方式
1.1.2PHP网页的安全性问题
1.2RegisterGlobals
1.3安全模式
1.3.1限制文件的存取
1.3.2限制环境变量的存取
1.3.3限制外部程序的执行
1.4MagicQuotes
1.4.1使用MagicQuotes的好处
1.4.2使用MagicQuotes的坏处
1.4.3取消MagicQuotes功能
1.5修改PHP的设定值
1.5.1在php.ini文件中修改设定值
1.5.2在httpd.conf文件中修改设定值
1.5.3在.htaccess文件中修改设定值
1.5.4在程序中修改设定值
第2章CommandInjection-命令注入攻击
2.1PHP的命令执行函数
2.1.1System函数
2.1.2Exec函数
2.1.3passthru函数
2.1.4shell_exec函数
2.1.5运算符
2.2命令注入攻击
2.2.1攻击实例一
2.2.2攻击实例二
2.2.3攻击实例三
2.2.4命令注入的方式
2.3eval注入攻击
2.3.1攻击没有作用
2.3.2可变变量
2.3.3pre_replace函数
2.3.4ace函数
2.3.5动态函数
2.3.6call_user_func函数
2.4防范的方法
2.4.1使用escapeshellarg函数来处理命令的参数
2.4.2使用safe_mode_exec_dir指定的可执行文件的路径
第3章ScriptInsertion-客户端脚本植入攻击
3.1客户端脚本植入攻击
3.2攻击实例：在留言板中插入脚本
3.2.1开始攻击：显示简单的对话框
3.2.2没有显示对话框
3.2.3打开InternetExplorer的活动脚本功能
3.2.4关闭PHP的magic_quotes_gpc
3.2.5利用数据库来攻击
3.2.6本章的数据库
3.2.7浏览植入脚本的留言
3.2.8破坏性的攻击手法：显示无穷尽的新窗口
3.2.9引诱性的攻击手法：跳转网址
3.3防范的方法
3.3.1HTML输出过滤
3.3.2使用strip_tags函数来进行HTML输出过滤
3.3.3strip_tags函数的缺点
3.3.4使用htmlspecialchars函数来进行HTML输出过滤
第4章XSS-跨网站脚本攻击
4.1什么是“跨网站脚本攻击”
4.2跨网站脚本攻击
4.2.1本章的数据库
4.2.2登录首页
4.2.3如何攻击
4.2.4开始攻击
4.2.5没有显示对话框
4.2.6如何取得目标用户的cookie内容
4.2.7服务器的记录文件
4.3防范的方法
4.4隐藏在$_SERVER["PHP_SELF"]变量内的脚本
4.4.1实际范例
4.4.2拆解

标签的内容
4.4.3避免$_SERVER["PHP_SELF"]被篡改
第5章SQLInjection-SQL注入攻击
第6章CSRF-跨网站请求伪造攻击
第7章SessionHijacking-会话劫持攻击
第8章HTTPResponseSplitting-HTTP响应拆分攻击
第9章FileUploadAttack-文件上传攻击
第10章目录/文件攻击
第11章其他的攻击
第12章攻击手法汇总
第13章漏洞扫描器
第14章开发安全的Web程序
附录ATelnet使用说明
附录B查看HTTP请求与响应的实际内容
附录CURL编码与解码
附录D构建PHP的测试环境
附录E找出网站的IP地址