• Web安全原理分析与实践
21年品牌 40万+商家 超1.5亿件商品

Web安全原理分析与实践

10.3 1.9折 55 八五品

库存7件

广西南宁
认证卖家担保交易快速发货售后保障

作者闵海钊;李江涛;张敬;刘新鹏

出版社清华大学出版社

出版时间2019-11

版次1

装帧其他

货号B-5-5

上书时间2024-09-04

鲸鱼知行书店

已实名 已认证 进店 收藏店铺

   商品详情   

品相描述:八五品
图书标准信息
  • 作者 闵海钊;李江涛;张敬;刘新鹏
  • 出版社 清华大学出版社
  • 出版时间 2019-11
  • 版次 1
  • ISBN 9787302537694
  • 定价 55.00元
  • 装帧 其他
  • 开本 16开
  • 纸张 胶版纸
  • 页数 340页
  • 字数 491千字
【内容简介】
本书重点介绍WEB安全基础知识,讲述了文件包含漏洞、SQL注入漏洞、文件上传漏洞、命令执行漏洞、代码执行漏洞、 XSS 漏洞、 SSRF 漏洞、XXE 漏洞、反序列化漏洞、中间件漏洞、解析漏洞、数据库漏洞等WEB 安全相关的常见漏洞的原理分析与代码分析,分析了WEB安全常见漏洞的攻击和防御方式,结合详细案例对漏洞的原理和利用过程详细分析解读,帮助读者更透彻的掌握WEB安全技术及应用;介绍典型应用案例;通过学习能够对这些Web安全漏洞有比较全面和深入的了解,为后续的实践教学打下良好的基础,同时有助于在实际工作中检测和防范Web安全漏洞。
【作者简介】
专注于网络安全领域的的前沿技术的研究、培训和安全服务,在CVE信息安全漏洞库提交11个漏洞并获得CVE ID编号,在CNNVD中国国家信息安全漏洞库、CNVD国家信息安全漏洞共享平台提交多个原创高危漏洞并获得证书,网络安全组织defcon group 0531发起人之一,获得多个CTF比赛奖项。
【目录】
第1章Web安全基础1

1.1网络安全现状1

1.2常见的Web安全漏洞1

1.3HTTP基础2

1.3.1HTTP之URL3

1.3.2HTTP请求3

1.3.3HTTP响应4

1.3.4HTTP状态码4

1.3.5HTTP请求方法5

1.3.6HTTP请求头6

1.3.7HTTP响应头7

1.4Cookie和Session7

1.4.1Cookie简介7

1.4.2Cookie详解8

1.4.3Session详解9

1.4.4Session传输11

1.5Burp Suite工具12

1.5.1Burp Suite简介12

1.5.2Burp Suite主要组件12

1.5.3Burp Suite安装13

1.5.4Burp Suite代理设置13

1.5.5Burp Suite重放18

1.5.6Burp Suite爆破19

1.5.7安装CA证书25

1.6信息收集30

1.6.1Nmap扫描30

1.6.2敏感目录扫描35

1.7思考题36Web安全原理分析与实践目录第2章SQL注入漏洞38

2.1SQL注入漏洞简介38

2.1.1SQL注入漏洞产生原因及危害38

2.1.2SQL注入漏洞示例代码分析38

2.1.3SQL注入分类38

2.2数字型注入39

2.3字符型注入39

2.4MySQL注入40

2.4.1information_schema数据库40

2.4.2MySQL系统库41

2.4.3MySQL联合查询注入41

2.4.4MySQL bool注入50

2.4.5MySQL sleep注入59

2.4.6MySQL floor注入67

2.4.7MySQL updatexml注入72

2.4.8MySQL extractvalue注入76

2.4.9MySQL 宽字节注入76

2.5Oracle注入81

2.5.1Oracle基础知识81

2.5.2Oracle注入示例代码分析84

2.6SQL Server注入90

2.6.1SQL Server目录视图90

2.6.2SQL Server报错注入92

2.7Access注入96

2.7.1Access基础知识96

2.7.2Access爆破法注入96

2.8二次注入101

2.8.1二次注入示例代码分析101

2.8.2二次注入漏洞利用过程102

2.9自动化SQL注入工具sqlmap104

2.9.1sqlmap基础104

2.9.2sqlmap注入过程105

2.10SQL注入绕过108

2.10.1空格过滤绕过108

2.10.2内联注释绕过113

2.10.3大小写绕过115

2.10.4双写关键字绕过116

2.10.5编码绕过117

2.10.6等价函数字符替换绕过121

2.11MySQL注入漏洞修复124

2.11.1代码层修复124

2.11.2服务器配置修复126

2.12思考题127

第3章文件上传漏洞128

3.1文件上传漏洞简介128

3.2前端JS过滤绕过128

3.3文件名过滤绕过132

3.4ContentType过滤绕过133

3.5文件头过滤绕过136

3.6.htaccess文件上传138

3.6.1.htaccess基础138

3.6.2.htaccess文件上传示例代码分析139

3.7文件截断上传141

3.8竞争条件文件上传144

3.9文件上传漏洞修复148

3.10思考题148

第4章文件包含漏洞149

4.1文件包含漏洞简介149

4.2文件包含漏洞常见函数149

4.3文件包含漏洞示例代码分析149

4.4无限制本地文件包含漏洞150

4.4.1定义及代码实现150

4.4.2常见的敏感信息路径150

4.4.3漏洞利用150

4.5有限制本地文件包含漏洞151

4.5.1定义及代码实现151

4.5.2%00截断文件包含152

4.5.3路径长度截断文件包含152

4.5.4点号截断文件包含154

4.6Session文件包含155

4.6.1利用条件155

4.6.2Session文件包含示例分析155

4.6.3漏洞分析156

4.6.4漏洞利用156

4.7日志文件包含157

4.7.1中间件日志文件包含157

4.7.2SSH日志文件包含159

4.8远程文件包含161

4.8.1无限制远程文件包含161

4.8.2有限制远程文件包含162

4.9PHP伪协议164

4.9.1php://伪协议165

4.9.2file://伪协议168

4.9.3data://伪协议169

4.9.4phar://伪协议169

4.9.5zip://伪协议171

4.9.6expect://伪协议172

4.10文件包含漏洞修复172

4.10.1代码层修复172

4.10.2服务器安全配置172

4.11思考题172

第5章命令执行漏洞174

5.1命令执行漏洞简介174

5.2Windows下的命令执行漏洞176

5.2.1Windows下的命令连接符176

5.2.2Windows下的命令执行漏洞利用178

5.3Linux下的命令执行漏洞179

5.3.1Linux下的命令连接符179

5.3.2Linux下的命令执行漏洞利用180

5.4命令执行绕过181

5.4.1绕过空格过滤181

5.4.2绕过关键字过滤184

5.5命令执行漏洞修复191

5.5.1服务器配置修复191

5.5.2函数过滤191

5.6思考题192

第6章代码执行漏洞194

6.1代码执行漏洞简介194

6.2PHP可变函数199

6.3思考题202

第7章XSS漏洞203

7.1XSS漏洞简介203

7.2XSS漏洞分类203

7.3反射型XSS203

7.4存储型XSS205

7.5DOM型XSS207

7.5.1DOM简介207

7.5.2DOM型XSS示例代码分析207

7.6XSS漏洞利用208

7.7XSS漏洞修复211

7.8思考题212

第8章SSRF漏洞213

8.1SSRF漏洞简介213

8.2SSRF漏洞示例代码分析213

8.2.1端口探测214

8.2.2读取文件214

8.2.3内网应用攻击215

8.3SSRF漏洞修复218

8.4思考题219

第9章XXE漏洞220

9.1XXE漏洞简介220

9.2XML基础220

9.2.1XML声明220

9.2.2文档类型定义221

9.3XML漏洞利用222

9.3.1文件读取222

9.3.2内网探测223

9.3.3内网应用攻击225

9.3.4命令执行226

9.4XML漏洞修复226

9.5思考题226

第10章反序列化漏洞227

10.1序列化和反序列化简介227

10.2序列化227

10.2.1serialize函数227

10.2.2NULL和标量类型数据的序列化227

10.2.3简单复合类型数据的序列化229

10.3反序列化231

10.4反序列化漏洞利用232

10.4.1魔法函数232

10.4.2_ _construct函数和_ _destruct函数232

10.4.3_ _sleep函数和_ _wakeup函数233

10.5反序列化漏洞示例代码分析235

10.5.1漏洞分析235

10.5.2漏洞利用235

10.6反序列化漏洞利用实例详解237

10.6.1漏洞分析239

10.6.2漏洞利用239

10.7思考题245

第11章中间件漏洞246

11.1IIS服务器简介246

11.2IIS 6.0 PUT上传漏洞247

11.2.1漏洞产生原因247

11.2.2WebDAV简介247

11.2.3漏洞测试方法247

11.2.4漏洞利用方法248

11.3IIS短文件名枚举漏洞249

11.3.1IIS短文件名枚举漏洞简介249

11.3.2IIS短文件名枚举漏洞分析与利用249

11.3.3IIS短文件名漏洞利用示例250

11.3.4IIS短文件名枚举漏洞修复252

11.4IIS HTTP.sys漏洞253

11.4.1漏洞简介253

11.4.2影响版本253

11.4.3漏洞分析与利用254

11.4.4漏洞修复257

11.5JBoss服务器漏洞257

11.5.1JBoss的重要目录文件258

11.5.2JBoss未授权访问部署木马258

11.5.3JBoss Invoker接口未授权访问远程命令执行262

11.6Tomcat服务器漏洞265

11.6.1Tomcat弱口令攻击266

11.6.2Tomcat弱口令漏洞修复270

11.6.3Tomcat远程代码执行漏洞270

11.6.4Tomcat远程代码执行漏洞修复274

11.7WebLogic服务器漏洞275

11.7.1WebLogic部署应用的3种方式275

11.7.2WebLogic弱口令漏洞利用284

11.8思考题288

第12章解析漏洞289

12.1Web容器解析漏洞简介289

12.2Apache解析漏洞290

12.2.1漏洞形成原因290

12.2.2Apache解析漏洞示例分析290

12.2.3Apache解析漏洞修复292

12.3PHP CGI解析漏洞292

12.3.1CGI简介292

12.3.2fastcgi简介292

12.3.3PHP CGI解析漏洞292

12.4IIS解析漏洞293

12.4.1IIS 6.0解析漏洞293

12.4.2IIS 6.0解析漏洞修复294

12.5IIS 7.x解析漏洞295

12.5.1IIS 7.x解析漏洞示例分析296

12.5.2IIS 7.x解析漏洞修复297

12.6Nginx解析漏洞298

12.7思考题299

第13章数据库漏洞300

13.1SQL Server数据库漏洞300

13.1.1利用xp_cmdshell提权300

13.1.2利用MSF提权302

13.2MySQL数据库漏洞304

13.3Oracle数据库漏洞309

13.4Redis数据库未授权访问漏洞313

13.4.1Redis数据库未授权访问环境搭建313

13.4.2利用Redis未授权访问漏洞获取敏感信息315

13.4.3利用Redis未授权访问漏洞获取主机权限316

13.4.4利用Redis未授权访问漏洞写入Webshell319

13.4.5利用Redis未授权访问漏洞反弹shell320

13.5数据库漏洞修复321

13.6思考题321

附录A英文缩略语323
点击展开 点击收起

—  没有更多了  —

以下为对购买帮助不大的评价

此功能需要访问孔网APP才能使用
暂时不用
打开孔网APP