黑客攻防技術寶典: Web實戰篇
本書是探索和研究Web應用程序安全缺陷的實踐指南。作者利用大量的實際案例、屏幕快照和示例代碼,詳細介紹了每一種Web應用程序弱點,并深入闡述了如何針對Web應用程序進行具體的滲透測試。本書從介紹當前Web應用程...
本書是探索和研究Web應用程序安全缺陷的實踐指南。作者利用大量的實際案例、屏幕快照和示例代碼,詳細介紹了每一種Web應用程序弱點,并深入闡述了如何針對Web應用程序進行具體的滲透測試。本書從介紹當前Web應用程序安全概況開始,重點討論滲透測試時使用的技巧和詳細步驟,總結書中涵蓋的主題。每章后還附有習題,便于讀者鞏固所學內容。
本書適用于各層次計算機安全和Web開發與管理領域的技術人員。
跟安全技術大師學習黑客攻防技術,分析Web應用程序安全漏洞,大量實例和代碼片段。
越來越多的關鍵應用現在已經遷移到網站上,這些Web應用的安全已經成為各機構的重要挑戰。知己知彼,方能百戰不殆。只有了解Web應用程序中存在的可被利用的漏洞和攻擊者所采用的攻擊方法,才能更有效地確保Web安全。
本書是Web安全領域專家的經驗結晶,系統闡述了如何針對Web應用程序展開攻擊與反攻擊,詳細剖析了攻擊時所使用的技巧、步驟和工具,條理清晰,內容,幾乎涵蓋了所有Web核心技術以及Web應用程序的核心功能,另外還為讀者提供了作者自己開發的幾個探查漏洞的工具,是一本難得一見的黑客技術實用寶典。
Dafydd Stuttard,世界知名的安全技術專家。著名Web應用攻擊測試工具Burp Suite的開發者。以網名PortSwigger蜚聲安全界。牛津大學博士,現任Next Generation Security Software公司博學安全顧問,主要負責Web應用程序安全。
第1章Web應用程序安全與風險
第2章核心防御機制
第3章Web應用程序技術
第4章解析應用程序
第5章避開客戶端控件
第6章攻擊驗證機制
第7章攻擊會話管理
第8章攻擊訪問控制
第9章代碼注入
第10章利用路徑遍歷
第11章攻擊應用程序邏輯
第12章攻擊其他用戶
第13章定制攻擊自動化
第14章利用信息泄露
第15章攻擊編譯型應用程序
第16章攻擊應用程序架構
第17章攻擊Web服務器
第18章查找源代碼中的漏洞
第19章Web應用程序黑客工具包
第20章Web應用程序滲透測試方法論
第1章Web應用程序安全與風險
Web應用程序安全無疑是當務之急,也是值得關注的話題。對相關各方而言,這一問題都至關重要。這里的相關各方包括因特網業務收入日益增長的公司、向web應用程序托付敏感信息的用戶,以及通過竊取支付信息或入侵銀行賬戶偷竊巨額資金的犯罪分子。的信譽也非常重要,沒人愿意與不安全的web站點進行交易,也沒有組織愿意披露有關其安全方面的漏洞或違規行為的詳細情況。因此,獲取當前web應用程序安全狀況的信息不可小視。
本章簡要介紹web應用程序的發展歷程及它們提供的諸多優點,并且列舉我們親身體驗過的在目前web應用程序中存在的漏洞,這些漏洞表明絕大多數應用程序還遠遠不夠安全。本章還將描述web應用程序面臨的核心安全問題(即用戶可提交任意輸入的問題),以及造成安全問題的各種因素。討論web應用程序安全方面的近期發展趨勢,并預測其未來的發展方向。
1.1 Web應用程序的發展歷程
在因特網發展的早期階段,萬維網(world Wideweb)僅由web站點構成,這些站點基本上是包含靜態文檔的信息庫。隨后人們發明了web瀏覽器,通過它來提取和顯示那些文檔,如圖1.1所示。這種相關信息流僅由服務器向瀏覽器單向傳送。多數站點并不驗證用戶的合法性,因為根本沒有必要這樣做;所有用戶同等對待,收取同樣的信息。創建一個web站點所帶來的安全威脅主要與web服務器軟件的(諸多)漏洞有關。攻擊者入侵web站點并不能獲取任何敏感信息,因為服務器上保存的信息可以公開查看。……
最近你手頭緊,等有錢了一定看看
講的很深入~進階型的書
很有用的一本web攻防書,很系統
不錯。。。。。。。。。。。。。。。
沒有送給我!原因都不知道!很失望
人民郵電出版社中不多的好書。
翻譯質量比較差吧
目前web安全類圖書中執此一冊足夠。
書的內容不錯,不過前提要有一點基礎
內容不錯,對于初步學習的有點難度
書不錯,不過我收到的書有質量問題~~
不錯
有點枯燥
當然肯定不能讓你立馬攻擊web
不錯
這個商品不錯~
這個商品不錯~
活動買的,非常合適
理論 + 實踐 是最好的學習方法。
我是初學者,看這書一定要稍微具備基礎的人才行。
書不錯,看了系統篇之后又買這本看的,受益匪淺呀!
大概看了一下書中全部內容,寫得很有深度,很全面,不過對于初學者來說很難理解,值得購買的一本書!
對于想要在WEB安全領域深耕的人來說,是一本不可多得的進階教程。
