黑客攻防技术宝典web实战篇第2版Dafydd Stuttard编著,由人民邮电出版社翻译出版,为您讲解黑客攻防实例分析,在原来基础上做出修订;适合各层次计算机安全人士和Web开发与管理领域的技术人员阅读使用,有需求的朋友请下载体验。
黑客攻防技术宝典web实战篇简介:
该书充分融合了近现代Web应用程序安全漏洞的探索和研究理论,能够独立解决用户在Web安全漏洞探索过程中遇到的各种瓶颈,高效、实用!
黑客攻防技术宝典Web实战篇第2版利用大量的实际案例和示例代码,详细介绍了各类Web应用程序的弱点,并深入阐述了如何针对Web应用程序进行具体的渗透测试。能够实现对Web应用程序安全漏洞探究完善的流程控制,节省时间和精力,提高用户满意度。
内容:
在因特网发展的早期阶段,万仅由w曲站点构成,这些站点基本上是包含静态文档的信息库。随后人们发明了Web浏览器,通过它来检索和显示那些文档。这种相关信息流仅由服务器向浏览器单向传送。多数站点并不验证用户的合法性,因为根本没有必要这样做;所有用户同等对待,提供同样的信息。创建一个w曲站点所带来的安全威胁主要与web服务器软件的(诸多)漏洞有关。攻击者入侵web站点并不能获取任何敏感信息,因为服务器上保存的信息可以公开查看。所以攻击者往往会修改服务器上的文件,以歪曲Web站点的内容,或者利用服务器的存储容量和带宽传播“非法软件”。
章节目录
第1章 Web应用程序安全与风险 1
1.1 Web应用程序的发展历程 1
1.1.1 Web应用程序的常见功能 3
1.1.2 Web应用程序的优点 4
1.2 Web应用程序安全 4
1.2.1 “本站点是安全的” 5
1.2.2 核心安全问题:用户可提交任意输入 6
1.2.3 关键问题因素 7
1.2.4 新的安全边界 8
1.2.5 Web应用程序安全的未来 10
1.3 小结 10
第2章 核心防御机制 12
2.1 处理用户访问 12
2.1.1 身份验证 13
2.1.2 会话管理 13
2.1.3 访问控制 14
2.2 处理用户输入 15
2.2.1 输入的多样性 15
2.2.2 输入处理方法 16
2.2.3 边界确认 18
2.2.4 多步确认与规范化 20
2.3 处理攻击者 21
2.3.1 处理错误 21
2.3.2 维护审计日志 22
2.3.3 向管理员发出警报 23
2.3.4 应对攻击 24
2.4 管理应用程序 25
2.5 小结 26
2.6 问题 26
第3章 Web应用程序技术 27
3.1 HTTP 27
3.1.1 HTTP请求 27
3.1.2 HTTP响应 28
3.1.3 HTTP方法 29
3.1.4 URL 30
3.1.5 REST 31
3.1.6 HTTP消息头 31
3.1.7 cookie 33
3.1.8 状态码 33
3.1.9 HTTPS 34
3.1.10 HTTP代理 35
3.1.11 HTTP身份验证 35
3.2 Web功能 36
3.2.1 服务器端功能 36
3.2.2 客户端功能 40
3.2.3 状态与会话 46
3.3 编码方案 47
3.3.1 URL编码 47
3.3.2 Unicode编码 48
3.3.3 HTML编码 48
3.3.4 Base64编码 49
3.3.5 十六进制编码 49
3.3.6 远程和序列化框架 49
3.4 下一步 50
3.5 问题 50
第4章 解析应用程序 51
4.1 枚举内容与功能 51
4.1.1 Web抓取 51
4.1.2 用户指定的抓取 54
4.1.3 发现隐藏的内容 56
4.1.4 应用程序页面与功能路径 67
4.1.5 发现隐藏的参数 69
4.2 分析应用程序 69
4.2.1 确定用户输入入口点 70
4.2.2 确定服务器端技术 72
4.2.3 确定服务器端功能 76
4.2.4 解析受攻击面 79
4.2.5 解析Extreme Internet Shopping应用