Web安全深度剖析

Web安全深度剖析
分享
扫描下方二维码分享到微信
打开微信,点击右上角”+“,
使用”扫一扫“即可将网页分享到朋友圈。
作者:
2015-04
版次: 1
ISBN: 9787121255816
定价: 59.00
装帧: 平装
开本: 16开
纸张: 胶版纸
页数: 360页
字数: 590千字
正文语种: 简体中文
349人买过
  •   《Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web应用程序中存在的漏洞,防患于未然。
      《Web安全深度剖析》从攻到防,从原理到实战,由浅入深、循序渐进地介绍了Web安全体系。全书分4篇共16章,除介绍Web安全的基础知识外,还介绍了Web应用程序中最常见的安全漏洞、开源程序的攻击流程与防御,并着重分析了“拖库”事件时黑客所使用的攻击手段。此外,还介绍了渗透测试工程师其他的一些检测方式。   张炳帅,曾经为金蝶软件Java高级工程师,担任国内最大的信息安全网站红黑联盟现场培训讲师以及网站管理员,现任某央企网络安全人员,从事互联网安全方面的相关工作。 第1篇基础篇
    第1章Web安全简介
    1.1服务器是如何被入侵的
    1.2如何更好地学习Web安全
    第2章深入HTTP请求流程
    2.1HTTP协议解析
    2.1.1发起HTTP请求
    2.1.2HTTP协议详解
    2.1.3模拟HTTP请求
    2.1.4HTTP协议与HTTPS协议的区别
    2.2截取HTTP请求
    2.2.1BurpSuiteProxy初体验
    2.2.2Fiddler
    2.2.3WinSockExpert
    2.3HTTP应用:黑帽SEO之搜索引擎劫持
    2.4小结
    第3章信息探测
    3.1GoogleHack
    3.1.1搜集子域名
    3.1.2搜集Web信息
    3.2Nmap初体验
    3.2.1安装Nmap
    3.2.2探测主机信息
    3.2.3Nmap脚本引擎
    3.3DirBuster
    3.4指纹识别
    3.5小结
    第4章漏洞扫描
    4.1BurpSuite
    4.1.1Target
    4.1.2Spider
    4.1.3Scanner
    4.1.4Intruder
    4.1.5辅助模块
    4.2AWVS
    4.2.1WVS向导扫描
    4.2.2Web扫描服务
    4.2.3WVS小工具
    4.3AppScan
    4.3.1使用AppScan扫描
    4.3.2处理结果
    4.3.3AppScan辅助工具
    4.4小结

    第2篇原理篇
    第5章SQL注入漏洞
    5.1SQL注入原理
    5.2注入漏洞分类
    5.2.1数字型注入
    5.2.2字符型注入
    5.2.3SQL注入分类
    5.3常见数据库注入
    5.3.1SQLServer
    5.3.2MySQL
    5.3.3Oracle
    5.4注入工具
    5.4.1SQLMap
    5.4.2Pangolin
    5.4.3Havij
    5.5防止SQL注入
    5.5.1严格的数据类型
    5.5.2特殊字符转义
    5.5.3使用预编译语句
    5.5.4框架技术
    5.5.5存储过程
    5.6小结
    第6章上传漏洞
    6.1解析漏洞
    6.1.1IIS解析漏洞
    6.1.2Apache解析漏洞
    6.1.3PHPCGI解析漏洞
    6.2绕过上传漏洞
    6.2.1客户端检测
    6.2.2服务器端检测
    6.3文本编辑器上传漏洞
    6.4修复上传漏洞
    6.5小结
    第7章XSS跨站脚本漏洞
    7.1XSS原理解析
    7.2XSS类型
    7.2.1反射型XSS
    7.2.2存储型XSS
    7.2.3DOMXSS
    7.3检测XSS
    7.3.1手工检测XSS
    7.3.2全自动检测XSS
    7.4XSS高级利用
    7.4.1XSS会话劫持
    7.4.2XSSFramework
    7.4.3XSSGetShell
    7.4.3XSS蠕虫
    7.5修复XSS跨站漏洞
    7.5.1输入与输出
    7.5.2HttpOnly
    7.6小结
    第8章命令执行漏洞
    8.1OS命令执行漏洞示例
    8.2命令执行模型
    8.2.1PHP命令执行
    8.2.2Java命令执行
    8.3框架执行漏洞
    8.3.1Struts2代码执行漏洞
    8.3.2ThinkPHP命令执行漏洞
    8.3防范命令执行漏洞
    第9章文件包含漏洞
    9.1包含漏洞原理解析
    9.1.1PHP包含
    9.1.2JSP包含
    9.2安全编写包含
    9.3小结
    第10章其他漏洞
    10.1CSRF
    10.1.1CSRF攻击原理
    10.1.2CSRF攻击场景(GET)
    10.1.3CSRF攻击场景(POST)
    10.1.4浏览器Cookie机制
    10.1.5检测CSRF漏洞
    10.1.6预防跨站请求伪造
    10.2逻辑错误漏洞
    10.2.1挖掘逻辑漏洞
    10.2.2绕过授权验证
    10.2.3密码找回逻辑漏洞
    10.2.4支付逻辑漏洞
    10.2.5指定账户恶意攻击
    10.3代码注入
    10.3.1XML注入
    10.3.2XPath注入
    10.3.3JSON注入
    10.3.4HTTPParameterPollution
    10.4URL跳转与钓鱼
    10.4.1URL跳转
    10.4.2钓鱼
    10.5WebServer远程部署
    10.5.1Tomcat
    10.5.2JBoss
    10.5.3WebLogic
    10.6小结

    第3篇实战篇
    第11章实战入侵与防范
    11.1开源程序安全剖析
    11.1.10day攻击
    11.1.2网站后台安全
    11.1.3MD5还安全吗
    11.2拖库
    11.2.1支持外连接
    11.2.2不支持外连接
    11.3小结

    第4篇综合篇
    第12章暴力破解测试
    12.1C/S架构破解
    12.2B/S架构破解
    12.3暴力破解案例
    12.4防止暴力破解
    12.5小结
    第13章旁注攻击
    13.1服务器端Web架构
    13.2IP逆向查询
    13.3SQL跨库查询
    13.4目录越权
    13.5构造注入点
    13.6CDN
    13.7小结
    第14章提权
    14.1溢出提权
    14.2第三方组件提权
    14.2.1信息搜集
    14.2.2数据库提权
    14.2.3FTP提权
    14.2.4PcAnywhere提权
    14.3虚拟主机提权
    14.4提权辅助
    14.4.13389端口
    14.4.2端口转发
    14.4.3启动项提权
    14.4.4DLL劫持
    14.4.5添加后门
    14.5服务器防提权措施
    14.6小结
    第15章ARP欺骗攻击
    15.1ARP协议简介
    15.1.1ARP缓存表
    15.1.2局域网主机通信
    15.1.3ARP欺骗原理
    15.2ARP攻击
    15.2.1Cain
    15.2.2Ettercap
    15.2.3NetFuke
    15.3防御ARP攻击
    15.4小结
    第16章社会工程学
    16.1信息搜集
    16.2沟通
    16.3伪造
    16.4小结
    严正声明
  • 内容简介:
      《Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web应用程序中存在的漏洞,防患于未然。
      《Web安全深度剖析》从攻到防,从原理到实战,由浅入深、循序渐进地介绍了Web安全体系。全书分4篇共16章,除介绍Web安全的基础知识外,还介绍了Web应用程序中最常见的安全漏洞、开源程序的攻击流程与防御,并着重分析了“拖库”事件时黑客所使用的攻击手段。此外,还介绍了渗透测试工程师其他的一些检测方式。
  • 作者简介:
      张炳帅,曾经为金蝶软件Java高级工程师,担任国内最大的信息安全网站红黑联盟现场培训讲师以及网站管理员,现任某央企网络安全人员,从事互联网安全方面的相关工作。
  • 目录:
    第1篇基础篇
    第1章Web安全简介
    1.1服务器是如何被入侵的
    1.2如何更好地学习Web安全
    第2章深入HTTP请求流程
    2.1HTTP协议解析
    2.1.1发起HTTP请求
    2.1.2HTTP协议详解
    2.1.3模拟HTTP请求
    2.1.4HTTP协议与HTTPS协议的区别
    2.2截取HTTP请求
    2.2.1BurpSuiteProxy初体验
    2.2.2Fiddler
    2.2.3WinSockExpert
    2.3HTTP应用:黑帽SEO之搜索引擎劫持
    2.4小结
    第3章信息探测
    3.1GoogleHack
    3.1.1搜集子域名
    3.1.2搜集Web信息
    3.2Nmap初体验
    3.2.1安装Nmap
    3.2.2探测主机信息
    3.2.3Nmap脚本引擎
    3.3DirBuster
    3.4指纹识别
    3.5小结
    第4章漏洞扫描
    4.1BurpSuite
    4.1.1Target
    4.1.2Spider
    4.1.3Scanner
    4.1.4Intruder
    4.1.5辅助模块
    4.2AWVS
    4.2.1WVS向导扫描
    4.2.2Web扫描服务
    4.2.3WVS小工具
    4.3AppScan
    4.3.1使用AppScan扫描
    4.3.2处理结果
    4.3.3AppScan辅助工具
    4.4小结

    第2篇原理篇
    第5章SQL注入漏洞
    5.1SQL注入原理
    5.2注入漏洞分类
    5.2.1数字型注入
    5.2.2字符型注入
    5.2.3SQL注入分类
    5.3常见数据库注入
    5.3.1SQLServer
    5.3.2MySQL
    5.3.3Oracle
    5.4注入工具
    5.4.1SQLMap
    5.4.2Pangolin
    5.4.3Havij
    5.5防止SQL注入
    5.5.1严格的数据类型
    5.5.2特殊字符转义
    5.5.3使用预编译语句
    5.5.4框架技术
    5.5.5存储过程
    5.6小结
    第6章上传漏洞
    6.1解析漏洞
    6.1.1IIS解析漏洞
    6.1.2Apache解析漏洞
    6.1.3PHPCGI解析漏洞
    6.2绕过上传漏洞
    6.2.1客户端检测
    6.2.2服务器端检测
    6.3文本编辑器上传漏洞
    6.4修复上传漏洞
    6.5小结
    第7章XSS跨站脚本漏洞
    7.1XSS原理解析
    7.2XSS类型
    7.2.1反射型XSS
    7.2.2存储型XSS
    7.2.3DOMXSS
    7.3检测XSS
    7.3.1手工检测XSS
    7.3.2全自动检测XSS
    7.4XSS高级利用
    7.4.1XSS会话劫持
    7.4.2XSSFramework
    7.4.3XSSGetShell
    7.4.3XSS蠕虫
    7.5修复XSS跨站漏洞
    7.5.1输入与输出
    7.5.2HttpOnly
    7.6小结
    第8章命令执行漏洞
    8.1OS命令执行漏洞示例
    8.2命令执行模型
    8.2.1PHP命令执行
    8.2.2Java命令执行
    8.3框架执行漏洞
    8.3.1Struts2代码执行漏洞
    8.3.2ThinkPHP命令执行漏洞
    8.3防范命令执行漏洞
    第9章文件包含漏洞
    9.1包含漏洞原理解析
    9.1.1PHP包含
    9.1.2JSP包含
    9.2安全编写包含
    9.3小结
    第10章其他漏洞
    10.1CSRF
    10.1.1CSRF攻击原理
    10.1.2CSRF攻击场景(GET)
    10.1.3CSRF攻击场景(POST)
    10.1.4浏览器Cookie机制
    10.1.5检测CSRF漏洞
    10.1.6预防跨站请求伪造
    10.2逻辑错误漏洞
    10.2.1挖掘逻辑漏洞
    10.2.2绕过授权验证
    10.2.3密码找回逻辑漏洞
    10.2.4支付逻辑漏洞
    10.2.5指定账户恶意攻击
    10.3代码注入
    10.3.1XML注入
    10.3.2XPath注入
    10.3.3JSON注入
    10.3.4HTTPParameterPollution
    10.4URL跳转与钓鱼
    10.4.1URL跳转
    10.4.2钓鱼
    10.5WebServer远程部署
    10.5.1Tomcat
    10.5.2JBoss
    10.5.3WebLogic
    10.6小结

    第3篇实战篇
    第11章实战入侵与防范
    11.1开源程序安全剖析
    11.1.10day攻击
    11.1.2网站后台安全
    11.1.3MD5还安全吗
    11.2拖库
    11.2.1支持外连接
    11.2.2不支持外连接
    11.3小结

    第4篇综合篇
    第12章暴力破解测试
    12.1C/S架构破解
    12.2B/S架构破解
    12.3暴力破解案例
    12.4防止暴力破解
    12.5小结
    第13章旁注攻击
    13.1服务器端Web架构
    13.2IP逆向查询
    13.3SQL跨库查询
    13.4目录越权
    13.5构造注入点
    13.6CDN
    13.7小结
    第14章提权
    14.1溢出提权
    14.2第三方组件提权
    14.2.1信息搜集
    14.2.2数据库提权
    14.2.3FTP提权
    14.2.4PcAnywhere提权
    14.3虚拟主机提权
    14.4提权辅助
    14.4.13389端口
    14.4.2端口转发
    14.4.3启动项提权
    14.4.4DLL劫持
    14.4.5添加后门
    14.5服务器防提权措施
    14.6小结
    第15章ARP欺骗攻击
    15.1ARP协议简介
    15.1.1ARP缓存表
    15.1.2局域网主机通信
    15.1.3ARP欺骗原理
    15.2ARP攻击
    15.2.1Cain
    15.2.2Ettercap
    15.2.3NetFuke
    15.3防御ARP攻击
    15.4小结
    第16章社会工程学
    16.1信息搜集
    16.2沟通
    16.3伪造
    16.4小结
    严正声明
查看详情
相关图书 / 更多
Web安全深度剖析
Web前端开发与项目实践
魏慧;胡沁涵
Web安全深度剖析
Web前端设计
王珊
Web安全深度剖析
Web应用开发技术(微课版)
白磊
Web安全深度剖析
Web 3.0:打造良好体验的品牌方法论
施襄 著
Web安全深度剖析
Web API设计原则通过API和微服务实现价值交付
(美)詹姆斯·希金博特姆(James Higginbotham)
Web安全深度剖析
Weir & Abrahams 人体解剖影像图谱(第6版)
袁慧书 著
Web安全深度剖析
Web3.0:数字时代赋能与变革
贾新峰
Web安全深度剖析
Web3.0:构建数字经济新未来
翟振林
Web安全深度剖析
Web前端开发基础
韩少云、王春梅 著
Web安全深度剖析
Web3.0时代:创新思维赋能数字未来
徐俊
Web安全深度剖析
Web前端开发实战
郭凯;孔繁玉;张有宽
Web安全深度剖析
Web前端设计基础(第2版)
李立威;薛晓霞;王晓红;李丹丹;王艳娥