互聯(lián)網(wǎng)安全已經(jīng)深入影響到當(dāng)今社會的每一個(gè)角落,網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)惡意攻擊幾乎時(shí)時(shí)刻刻都在上演,而導(dǎo)致這些問題發(fā)生的安全隱患正來自于網(wǎng)絡(luò)的核心——web應(yīng)用程序。本書以實(shí)例與理論相結(jié)合的方法,帶領(lǐng)讀者一同進(jìn)入Web應(yīng)用程序安全領(lǐng)域,讓讀者親身扮演一位安全研究人員,從認(rèn)識Web應(yīng)用程序、理解Web結(jié)構(gòu)開始,一步一步進(jìn)入Web應(yīng)用程序的漏洞分析及攻擊技術(shù)剖析。本書詳細(xì)講述了各種Web應(yīng)用程序攻擊技術(shù)的分類及來由,及時(shí)次為讀者揭開了Web應(yīng)用程序漏洞的發(fā)掘技術(shù),同時(shí),列舉了許多真實(shí)的Web應(yīng)用程序攻擊案例,供讀者參考。
本書適合所有熱愛網(wǎng)絡(luò)安全的人們,尤其是高等院校計(jì)算機(jī)專業(yè)的學(xué)生。同時(shí),本書可作為計(jì)算機(jī)安全培訓(xùn)班及學(xué)校教材和參考書籍,也為Web應(yīng)用程序開發(fā)人員及網(wǎng)絡(luò)管理人員提供了不可多得的安全參考資料,有很高的實(shí)用價(jià)值。
本書特點(diǎn):
著眼于Web應(yīng)用程序安全,解密當(dāng)今流行的黑客攻擊技術(shù)內(nèi)幕;精選安全案例,深入淺出講解Web應(yīng)用程序安全漏洞的發(fā)現(xiàn)與利用;了解Web安全的實(shí)質(zhì),學(xué)會有效的防范技術(shù),真正帶領(lǐng)讀者走近Web應(yīng)用程序安全研究者的神秘領(lǐng)域。
前言
第1章 脆弱的Web應(yīng)用程序
1.1 所謂的"安全"
1.2 定義Web程序安全漏洞
1.2.1 漏洞的概念
1.2.2 漏洞的特性
1.2.3 系統(tǒng)的信任等級
1.2.4 漏洞與系統(tǒng)攻擊之間的關(guān)系
1.2.5 Web應(yīng)用程序安全漏洞的引入
1.3 Web程序漏洞的分類
1.4 引發(fā)漏洞的始因
1.5 Web漏洞攻擊的趨勢
1.5.1 蠕蟲化
1.5.2 病毒化
1.5.3 惡意化
1.5.4 Oday化
第2章 基礎(chǔ)知識
2.1 Web——世界的奇跡
2.1.1 什么是Web
2.1.2 Web運(yùn)行原理
2.1.3 Web技術(shù)
2.1.4 Web 2.0帶來的變革
2.2 Web程序的開發(fā)
2.2.1 服務(wù)端開發(fā)語言
2.2.2 客戶端開發(fā)語言
2.3 Web程序運(yùn)行環(huán)境
2.3.1 常見的Web Servet
2.3.2 Web Server與服務(wù)器系統(tǒng)
2.3.3 狀態(tài)碼
2.4 Web程序的數(shù)據(jù)通信
2.4.1 HTTP/HTTPS協(xié)議
2.4.2 Cookies的作用
2.4.3 GET與POST數(shù)據(jù)提交
2.5 Web應(yīng)用程序數(shù)據(jù)加密方式
2.5.1 MD5加密
2.5.2 URL Encode
2.5.3 Base64加密
第3章 搭建攻擊平臺
3.1 發(fā)掘工具的準(zhǔn)備
3.1.1 瀏覽器
3.1.2 編碼工具
3.1.3 監(jiān)視工具
3.1.4 調(diào)試工具
3.2 虛擬機(jī)
3.2.1 虛擬機(jī)的概念
3.2.2 VMware的安裝使用
3.3 安裝Web程序運(yùn)行環(huán)境
3.3.1 IIS環(huán)境的搭建
3.3.2 XAMPP的使用
3.3.3 Tomcat的安裝
第4章 最廣泛的漏洞——XSS
4.1 初次接觸XSS漏洞
4.1.1 藝術(shù)化的XSS漏洞
4.1.2 Stored.XSS漏洞
4.1.3 DOM—Based XSS漏洞
4.2 手工發(fā)掘:XSS漏洞的方法
4.2.1 尋找關(guān)鍵變量
4.2.2 頁面表單測試
4.2.3 反饋信息觀察
4.3 傳統(tǒng)的XSS漏洞利用
4.3.1 Cookies欺騙
4.3.2 隱蔽網(wǎng)頁木馬
4.3.3 電子郵件中的XSS攻擊
4.4 無可匹敵的XSS木馬
4.5 可怕的XSS蠕蟲
4.6 飛天論壇XSS漏洞發(fā)掘?qū)嵗?/p>
4.7 防范XSS漏洞
4.7.1 過濾與加密變型
4.7.2 客戶端的防范
第5章 針對數(shù)據(jù)庫的攻擊——SQL注入漏洞
5.1 常見的網(wǎng)站數(shù)據(jù)庫
5.2 SQL簡介
5.3 注入思想的誕生
5.4 IIS的"友好"幫助
……
第6章 通過WEB控制系統(tǒng)系統(tǒng)
第7章 引用文件帶來的危害
第8章 堪稱經(jīng)典的上傳漏洞
第9章 Web應(yīng)用程序做嗅探
第10章 混亂的Web程序員
第11章 滲透編譯型Web程序
第12章 自動化漏洞發(fā)揚(yáng)技術(shù)
第13章 穿透安全防范機(jī)制
第14章 新起的Web程序攻擊
參考文獻(xiàn)及參考資料
第1章 脆弱的Web應(yīng)用程序
不知道在你上網(wǎng)的時(shí)候,有沒有看見過如圖1.1所示的畫面。
這是一張被惡意攻擊者滲透進(jìn)入后的網(wǎng)站截圖,攻擊者篡改了網(wǎng)站的首頁內(nèi)容,圖1—1中那挑釁的字眼似乎在告訴每一個(gè)看到它的人說:"這個(gè)網(wǎng)站并不安全。"在互聯(lián)網(wǎng)上,這些用來為廣大網(wǎng)民提供信息服務(wù)的網(wǎng)站,幾乎每一個(gè)時(shí)刻都在面I臨著如此惡意的攻擊。當(dāng)網(wǎng)站服務(wù)器的開發(fā)者竭盡全力加強(qiáng)網(wǎng)站安全的時(shí)候,Web應(yīng)用程序卻成為了網(wǎng)絡(luò)這個(gè)安全木桶上最短的一塊擋板。
管理學(xué)中的木桶原理告訴我們:一個(gè)木桶由許多塊木板組成,如果組成木桶的這些木板長短不一,那么木桶的較大容量不取決于長的木板,而取決于最短的那塊木板。這個(gè)原理同樣適用于信息安全。一個(gè)結(jié)構(gòu)的信息安全水平將由與信息安全有關(guān)的所有環(huán)節(jié)中最薄弱的環(huán)節(jié)決定。安全就像是水,木桶就像是需要安全保護(hù)的網(wǎng)絡(luò)環(huán)境,一個(gè)可以用來裝水的木桶,必須保障木桶上的每一塊擋板長度都要一樣,不然,一旦我們想要給木桶裝滿水的時(shí)候,水就會從最短的那一塊擋板上面流出,那就意味著安全問題將會從木桶上最短的一塊擋板上發(fā)生。
在本章里,我將把它作為一個(gè)引子,告訴大家為什么我們要談?wù)?Web應(yīng)用程序的安全問題,它真的嚴(yán)重到我們需要整整一本書的版面來說明這個(gè)問題嗎?也許,我們誰都不希望在每天打開計(jì)算機(jī)上網(wǎng)的時(shí)候,映入眼簾的畫面全部都像圖1.1那樣令人不安。至于那些具體的安全理論和方法,會在后面的章節(jié)詳細(xì)講述。
……
比較符合現(xiàn)在潮流,攻擊技術(shù)都是最新的……
很好
還是可以讀。。。
都是淺嘗輒止
說實(shí)話,不怎么樣
不適合一般人看,我看了有點(diǎn)摸不著思路
good
針對WEB各種攻擊技術(shù)的講解,非常不錯(cuò)。
這個(gè)商品不錯(cuò)~
這個(gè)商品不錯(cuò)~
這個(gè)商品不錯(cuò)~
這個(gè)商品不錯(cuò)~
這個(gè)商品不錯(cuò)~
這個(gè)商品不錯(cuò)~
通俗易懂、深入淺出,授人以漁。同時(shí),又密切結(jié)合應(yīng)用案例,從而讓讀者可以在模擬場景中深深的理會知識。書中不含較為復(fù)雜的技術(shù)理論問題,一切從實(shí)際出發(fā)。
好
????
不好意思評價(jià)晚了,非常好的店家,東西很喜歡!
好評
可以
書一般,水份太大,特別是前四章,基本上是描述性的概念。。
書的內(nèi)容還可以,但是書的質(zhì)量太差了,前一頁都能看見后一頁的內(nèi)容
內(nèi)容涵蓋范圍較廣泛,但具體實(shí)現(xiàn)細(xì)節(jié)上,限于篇幅,沒有講的足夠清楚,總的來說值得新人一看,可以先了解個(gè)全貌。
本書只是對xss重點(diǎn)講解了,但是對與csrf 、越權(quán),url重定向等常見漏洞幾乎沒講,所以書中內(nèi)容還是不夠全面。
