黑客攻防技术宝典：Web实战篇 PDF扫描版[55MB] 电子

黑客攻防技术宝典 内容简介:

《黑客攻防技术宝典·Web实战篇》是探索和研究Web应用程序安全缺陷的实践指南。作者利用大量的实际案例、屏幕快照和示例代码，详细介绍了每一种Web应用程序弱点，并深入阐述了如何针对Web应用程序进行具体的渗透测试。《黑客攻防技术宝典·Web实战篇》从介绍当前Web应用程序安全概况开始，重点讨论渗透测试时使用的技巧和详细步骤，最后总结书中涵盖的主题。每章后还附有习题，便于读者巩固所学内容。

《黑客攻防技术宝典·Web实战篇》适用于各层次计算机安全和Web开发与管理领域的技术人员。

编辑推荐
《黑客攻防技术宝典·Web实战篇》由人民邮电出版社出版。
跟安全技术大师学习黑客攻防技术，全面分析Web应用程序安全漏洞，大量实例和代码片段。
越来越多的关键应用现在已经迁移到网站上，这些Web应用的安全已经成为各机构的重要挑战。知己知彼，方能百战不殆。只有了解Web应用程序中存在的可被利用的漏洞和攻击者所采用的攻击方法，才能更有效地确保Web安全。

《黑客攻防技术宝典·Web实战篇》是Web安全领域专家的经验结晶，系统阐述了如何针对Web应用程序展开攻击与反攻击，详细剖析了攻击时所使用的技巧、步骤和工具，条理清晰，内容全面，几乎涵盖了所有Web核心技术以及Web应用程序的核心功能，另外还为读者提供了作者自己开发的几个探查漏洞的工具，是一本难得一见的黑客技术实用宝典。

作者简介
作者：(英国) 斯图塔德 (Stuttard.D.) (英国) 平托 (Pinto.M.) 译者：石华耀

Dafydd Stuttard，世界知名的安全技术专家。著名Web应用攻击测试工具Burp Suite的开发者。以网名PortSwigger蜚声安全界。牛津大学博士，现任Next Generation Security Software公司资深安全顾问，主要负责Web应用程序安全。

黑客攻防技术宝典 目录:

第1章 Web应用程序安全与风险 1
1.1 Web应用程序的发展历程 1
1.1.1 Web应用程序的常见功能 2
1.1.2 Web应用程序的优点 3
1.2 Web应用程序安全 3
1.2.1 “本站点是安全的” 3
1.2.2 核心安全问题：用户可提交任意输入 5
1.2.3 关键问题因素 6
1.2.4 新的安全边界 7
1.2.5 Web应用程序安全的未来 8
1.3 小结 8

第2章 核心防御机制 9
2.1 处理用户访问 9
2.1.1 身份验证 10
2.1.2 会话管理 10
2.1.3 访问控制 11
2.2 处理用户输入 12
2.2.1 输入的多样性 12
2.2.2 输入处理方法 13
2.2.3 边界确认 14
2.2.4 多步确认与规范化 16
2.3 处理攻击者 17
2.3.1 处理错误 17
2.3.2 维护审计日志 18
2.3.3 向管理员发出警报 19
2.3.4 应对攻击 19
2.4 管理应用程序 20
2.5 小结 21
2.6 问题 21

第3章 Web应用程序技术 22
3.1 HTTP 22
3.1.1 HTTP请求 22
3.1.2 HTTP响应 23
3.1.3 HTTP方法 24
3.1.4 URL 25
3.1.5 HTTP消息头 26
3.1.6 cookie 27
3.1.7 状态码 28
3.1.8 HTTPS 29
3.1.9 HTTP代理 29
3.1.10 HTTP验证 29
3.2 Web功能 30
3.2.1 服务器端功能 30
3.2.2 客户端功能 32
3.2.3 状态与会话 35
3.3 编码方案 36
3.3.1 URL编码 36
3.3.2 Unicode编码 36
3.3.3 HTML编码 37
3.3.4 Base64编码 37
3.3.5 十六进制编码 38
3.4 下一步 38
3.5 问题 38

第4章 解析应用程序 39
4.1 枚举内容与功能 39
4.1.1 Web抓取 39
4.1.2 用户指定的抓取 41
4.1.3 发现隐藏的内容 43
4.1.4 应用程序页面与功能路径 50
4.1.5 发现隐藏的参数 51
4.2 分析应用程序 52
4.2.1 确定用户输入进入点 52
4.2.2 确定服务器端技术 53
4.2.3 确定服务器端功能 58
4.2.4 解析受攻击面 60
4.3 小结 60
4.4 问题 61

第5章 避开客户端控件 62
5.1 通过客户端传送数据 62
5.1.1 隐藏表单字段 62
5.1.2 HTTP cookie 64
5.1.3 URL参数 65
5.1.4 Referer消息头 65
5.1.5 模糊数据 66
5.1.6 ASP.NET ViewState 67
5.2 收集用户数据：HTML表单 70
5.2.1 长度限制 70
5.2.2 基于脚本的确认 71
5.2.3 禁用的元素 73
5.3 收集用户数据：厚客户端组件 74
5.3.1 Java applet 74
5.3.2 ActiveX控件 80
5.3.3 Shockwave Flash对象 84
5.4 安全处理客户端数据 87
5.4.1 通过客户传送数据 87
5.4.2 确认客户生成的数据 88
5.4.3 日志与警报 89
5.5 小结 89
5.6 问题 89