黑客大曝光—Web应用安全与解决方案
¥ 9 1.4折 ¥ 65 九五品
仅1件
北京通州
认证卖家担保交易快速发货售后保障
作者(美)斯卡姆布雷,(美)施玛,(美)西玛 著,王炜,文苗,罗
出版社电子工业出版社
ISBN9787121066696
出版时间2008-06
版次1
装帧平装
开本16开
纸张胶版纸
页数462页
字数99999千字
定价65元
上书时间2024-04-04
商品详情
- 品相描述:九五品
- 商品描述
-
基本信息
书名:黑客大曝光—Web应用安全与解决方案
定价:65元
作者:(美)斯卡姆布雷,(美)施玛,(美)西玛 著,王炜,文苗,罗代升 译
出版社:电子工业出版社
出版日期:2008-06-01
ISBN:9787121066696
字数:512000
页码:462
版次:1
装帧:平装
开本:16开
商品重量:
编辑推荐
在网络技术和电子商务飞速发展的今天,Web应用安全面临着的挑战。本书凝聚了作者们超过30年的Web安全从业经验,让读者了解黑客如何使用架构和应用剖析来进行探测和进入有漏洞的系统。详细剖析了Web应用的安全漏洞,攻击手法和对抗措施,一步步的教授如何防御邪恶的攻击,并协助读者理解黑客的思考过程。 经典黑客图书,知名行业专家打造! 站在恶意入侵的角度来审视你的Web应用,以防范的Web攻击。本书经过全面的修订和更新以覆盖Web利用技术,为你一步步地展示黑客们如何瞄准漏洞站点、获取权限、窃取关键数据以及进行毁灭性的攻击。通过本书你将: 了解黑客如何使用架构和应用剖析来进行探测和进入有漏洞的系统。 获得最流行的Web平台(包括IIS,Apache,PHP和ASP.NET)的漏洞利用代码、绕过技术和对抗措施的细节。 学习常见Web认证机制(包括基于密码的,多因素的和诸如Passport的单点登录机制)的优势和弱点。 理解如何通过高级会话分析、劫持和定制技术来操纵任何Web应用的访问控制的核心。 寻找和定位输入验证缺陷,包括跨站脚本(XSS)、SQL注入、HTTPB向应头截断、编码和特殊字符滥用。 进一步了解的SQL注入技术,包括盲注入攻击、子查询高级利用技术、Oracle利用技术和改进的对抗措施。 了解的XML Web服务攻击、Web管理攻击和DDos攻击(包括点击欺诈)。 遍历Firefox和IE的漏洞利用代码,以及的社会工程驱动的客户端攻击,诸如钓鱼和广告软件。 本书帮你参透Web攻击背后的玄机,练就一双大眼金睛,为你的Web应用保驾护航!
内容提要
在网络技术和电子商务飞速发展的今天,Web应用安全面临着的挑战。本书凝聚了作者们超过30年的Web安全从业经验,详细剖析了Web应用的安全漏洞,攻击手法和对抗措施,一步步的教授如何防御邪恶的攻击,并协助读者理解黑客的思考过程。 本书分为13章,书后带有附录和详细的英汉对照索引。本书是网络管理员、系统管理员的宝典,也是电子商务从业者、网络爱好者和企业管理者的参考书籍。
目录
章 Web应用攻击的基础知识 1.1 什么是Web应用攻击 1.1.1 GUI Web攻击 1.1.2 URI攻击 1.1.3 请求方法、请求头和数据体 1.1.4 资源 1.1.5 认证,会话和授权 1.1.6 Web客户端和HTML 1.1.7 其他协议 1.2 为什么攻击Web应用 1.3 何人、何时、何地攻击Web应用 1.3.1 安全薄弱点 1.4 如何攻击Web应用程序 1.4.1 Web浏览器 1.4.2 浏览器扩展 1.4.3 HTTP代理 1.4.4 命令行工具 1.4.5 一些老工具 1.5 小结 1.6 参考和进一步阅读第2章 剖析 2.1 架构剖析 2.1.1 踩点和扫描:定义范围 2.1.2 Banner抓取 2.1.3 高级HTTP指纹 2.1.4 中间件架构 2.2 应用剖析 2.2.1 手工检测 2.2.2 使用搜索工具进行剖析 2.2.3 自动Web爬行工具 2.2.4 常见Web应用剖析 2.3 常用对抗措施 2.3.1 一条警示 2.3.2 保护目录 2.3.3 保护包含文件 2.3.4 一些其他技巧 2.4 小结 2.5 参考和进一步阅读第3章 攻击Web平台 3.1 使用Metasploit进行点击式的漏洞利用 3.2 手工漏洞利用 3.3 检测绕过技术 3.4 Web平台安全实践 3.4.1 通用实践 3.4.2 IIS加固 3.4.3 加固Apache 3.4.4 PHP实践 3.5 小结 3.6 参考和进一步阅读第4章 攻击Web认证 4.1 认证威胁 4.1.1 用户名/密码威胁 4.1.2 更强的Web认证 4.1.3 Web认证服务 4.2 绕过认证 4.2.1 令牌重放 4.2.2 身份管理 4.2.3 利用客户端 4.2.4 最后一些思考:身份窃取 4.3 小结 4.4 参考和进一步阅读第5章 攻击Web授权 5.1 授权实现的指纹识别 5.1.1 爬行ACL 5.1.2 识别访问/会话令牌 5.1.3 分析会话令牌 5.1.4 差异分析 5.1.5 角色矩阵 5.2 攻击ACL 5.3 攻击令牌 5.3.1 手动预测 5.3.2 自动预测 5.3.3 捕获/重放 5.3.4 会话定置 5.4 授权攻击案例分析 5.4.1 水平权限提升 5.4.2 垂直权限提升 5.4.3 差异分析 5.4.4 使用Curl映射许可 5.5 授权实践 5.5.1 Web ACL实践 5.5.2 Web授权/会话令牌安全 5.5.3 安全日志 5.6 小结 5.7 参考和进一步阅读第6章 输入验证攻击 6.1 预料意外的情况 6.2 在哪里寻找攻击载体 6.3 绕过客户端验证 6.4 常见的输入验证攻击 6.4.1 缓冲区溢出 6.4.2 转义攻击 6.4.3 脚本攻击 6.4.4 边界检查 6.4.5 操纵应用程序行为 6.4.6 SQL注入和数据存储攻击 6.4.7 执行命令 6.4.8 编码滥用 6.4.9 PHP全局变量 6.4.10 常见的后果 6.5 小结 6.6 参考和进一步阅读第7章 攻击Web数据存储 7.1 SQL入门 7.1.1 语法 7.1.2 SELECT,INSERT和UPDATE 7.2 发现SQL注入 7.2.1 语法和错误 7.2.2 语义和行为 7.2.3 替换字符编码 7.3 利用SQL注入漏洞 7.3.1 改变流程 7.3.2 查询替换数据 7.3.3 平台 7.4 其他数据存储攻击 7.4.1 输入验证 7.4.2 把查询数据从查询逻辑分离出来 7.4.3 数据库加密 7.4.4 数据库配置 7.5 小结第8章 攻击XML Web服务 8.1 什么是Web服务 8.1.1 传输:HTTP(S)上的SOAP 8.1.2 WSDL 8.1.3 目录服务:UDDI和DISCO 8.1.4 与Web应用程序安全的相似性 8.2 攻击Web服务 8.3 Web服务安全基础 8.3.1 Web服务安全措施 8.4 小结 8.5 参考和进一步阅读第9章 攻击Web应用管理 9.1 远程服务器管理 9.1.1 Telnet 9.1.2 SSH 9.1.3 私有的管理端口 9.1.4 其他管理服务 9.2 Web内容管理 9.2.1 FTP 9.2.2 SSH/scp 9.2.3 FrontPage 9.2.4 WebDAV 9.3 管理员错误配置 9.3.1 不必要的Web服务器扩展 9.3.2 信息泄漏 9.4 开发者造成的错误 9.5 小结 9.6 参考和进一步阅读0章 攻击Web客户端 10.1 漏洞利用 10.2 欺骗 10.3 通用对抗措施 10.3.1 IE安全区域 10.3.2 Firefox安全设置 10.3.3 低权限浏览 10.3.4 服务端的对抗措施 10.4 小结 10.5 参考和进一步阅读1章 拒绝服务(Denial of Service)攻击 11.1 常见的DoS攻击技术 11.1.1 传统的DoS攻击:利用漏洞 11.1.2 现代DoS攻击:能力损耗 11.1.3 应用层的DoS攻击 11.2 常见的DoS对抗措施 11.2.1 主动DoS防御 11.2.2 DoS测试(DoS Testing) 11.2.3 应对DoS攻击 11.3 总结 11.4 参考和进一步阅读2章 充分认知分析(Full-Knowledge Analysis) 12.1 威胁建模 12.1.1 理清安全对象 12.1.2 识别资产 12.1.3 架构概述 12.1.4 分解应用程序 12.1.5 识别威胁并用文档描述它们 12.1.6 对威胁排序 12.1.7 开发威胁减缓策略 12.2 代码评审 12.2.1 手动源代码评审 12.2.2 自动源代码评审 12.2.3 二进制分析 12.3 应用程序代码的安全测试 12.3.1 模糊测试 12.3.2 测试工具、程序和用具 12.4 在Web开发流程中的安全 12.4.1 人员 12.4.2 流程 12.4.3 技术 12.5 小结 12.6 参考和进一步阅读3章 Web应用安全扫描器 13.1 技术:Web应用安全扫描器 13.1.1 测试平台 13.1.2 测试 13.1.3 单个扫描器评审 13.1.4 整体测试结果 13.2 非技术问题 13.2.1 流程 13.2.2 人员 13.3 小结 13.4 参考和进一步阅读附录A Web应用程序的安全检查列表附录B Web攻击工具和攻击技术清单附录C URLScan和ModSecurity附录D 关于本书的配套网站索引
作者介绍
Joel Scambray拥有信息系统安全专家认证(CISSP),有15年的信息安全经验,包括:在微软和安永国际会计公司担任高级管理角色,与人创办Foundstone公司,担任“财富500强”企业的技术顾问,与人合著“黑客大曝光”(Hacking Exposed)系列书。 Mike Shema是NT Objectives的首席战略官(CSO),曾在多个安全会议上进行过Web应用安全的演讲。他研究了大量的广泛的Web技术,并开发出应用安全课程的培训教材。他是《反黑客工具包》(Anti-Hacker Toolkit)一书的合著者。
序言
-
【封面】
— 没有更多了 —
以下为对购买帮助不大的评价