logo
分类于: 计算机基础 互联网 云计算&大数据

简介

Web应用程序安全(原书第3版): 黑客大曝光

Web应用程序安全(原书第3版): 黑客大曝光 0.0分

资源最后更新于 2020-03-29 03:06:21

作者:〔美〕Joel Scambray〔美〕Vincent Liu〔美〕Caleb Sima

译者:姚军

出版社:出版社机械工业出版社

出版日期:2011-10

ISBN:9787111356622

文件格式: pdf

标签: 互联网 程序设计 计算机科学 网络安全

简介· · · · · ·

在网络技术和电子商务飞速发展的今天,Web应用安全面临着前所未有的挑战。所有安全技术人员有必要掌握当今黑客们的武器和思维过程,保护Web应用免遭恶意攻击。本书由美国公认的安全专家和精神领袖打造,对上一版做了完全的更新,覆盖新的网络渗透方法和对策,介绍如何增强验证和授权、弥补Firefox和IE中的漏洞、加强对注入攻击的防御以及加固Web 2.0安全,还介绍了如何将安全技术整合在Web开发以及更广泛的企业信息系统中。Joel Scambray,CISSP、战略安全咨询服务供应商Consciere的共同创始人和CEO。他曾经在Microsoft、Foundstone、Ernst&Young以及其他机构从事互联网安全评估和防御将近15年之久,是国际知名的演说家和多本安全书籍的作者。Vincent Liu,CISSP、Stach&Liu的任事股东。他曾经领导Honeywell国际公司全球安全单位的攻击与渗透及逆向工程团队,曾经是Ernst&Young高级安全中心的顾问和美国国家安全局的分析师,曾经在Black Hat、ToorCon和 Microsoft BlueHat等业界会议上发表演说。Caleb Sima,集成Web应用安全解决方案提供商Armorize Technologies的CEO。他创立了Web安全技术公司SPI Dynamic,也是Internet Security Systems/IBM精锐的X-Force团队的早期创新者,经常出席安全业界的重要会议,如RSA和Black Hat等。
直接下载

想要: 点击会收藏到你的 我的收藏,可以在这里查看

已收: 表示已经收藏

Tips: 注册一个用户 可以通过用户中心得到电子书更新的通知哦

目录

  1. 对本书的赞誉
  2. 译者序
  3. 序言
  4. 前言
  5. 作者简介
  6. 致谢
  7. 第1章 Web应用入侵基础
  8. 1.1 什么是Web应用入侵
  9. 1.1.1 GUI Web入侵
  10. 1.1.2 URI入侵
  11. 1.1.3 方法、首部和主体
  12. 1.1.4 资源
  13. 1.1.5 验证、会话和授权
  14. 1.1.6 Web客户端与HTML
  15. 1.1.7 其他协议
  16. 1.2 为什么攻击Web应用
  17. 1.3 谁、何时、何处
  18. 1.4 Web应用是如何遭到攻击的
  19. 1.4.1 Web浏览器
  20. 1.4.2 浏览器扩展
  21. 1.4.3 HTTP代理
  22. 1.4.4 命令行工具
  23. 1.4.5 较老的工具
  24. 1.5 小结
  25. 1.6 参考与延伸阅读
  26. 第2章 剖析
  27. 2.1 基础架构剖析
  28. 2.1.1 足迹法和扫描:定义范围
  29. 2.1.2 基本的标志获取
  30. 2.1.3 高级HTTP指纹识别
  31. 2.1.4 基础架构中介
  32. 2.2 应用剖析
  33. 2.2.1 手工检查
  34. 2.2.2 剖析所用的搜索工具
  35. 2.2.3 自动化的Web爬行
  36. 2.2.4 常见Web应用剖析
  37. 2.3 一般对策
  38. 2.3.1 警告
  39. 2.3.2 保护目录
  40. 2.3.3 保护包含文件
  41. 2.3.4 其他技巧
  42. 2.4 小结
  43. 2.5 参考与延伸阅读
  44. 第3章 Web平台入侵
  45. 3.1 用Metasploit进行点击攻击
  46. 3.2 手工攻击
  47. 3.3 逃避检测
  48. 3.4 Web平台安全最佳实践
  49. 3.4.1 通用的最佳实践
  50. 3.4.2 IIS加固
  51. 3.4.3 Apache加固
  52. 3.4.4 PHP最佳实践
  53. 3.5 小结
  54. 3.6 参考与延伸阅读
  55. 第4章 攻击Web验证
  56. 4.1 Web验证威胁
  57. 4.1.1 用户名/密码威胁
  58. 4.1.2 (更)强的Web验证
  59. 4.1.3 Web验证服务
  60. 4.2 绕过验证
  61. 4.2.1 令牌重放
  62. 4.2.2 跨站请求伪造
  63. 4.2.3 身份管理
  64. 4.2.4 客户端借道法
  65. 4.3 最后一些想法:身份盗窃
  66. 4.4 小结
  67. 4.5 参考与延伸阅读
  68. 第5章 攻击Web授权
  69. 5.1 授权指纹识别
  70. 5.1.1 ACL爬行
  71. 5.1.2 识别访问令牌
  72. 5.1.3 分析会话令牌
  73. 5.1.4 差异分析
  74. 5.1.5 角色矩阵
  75. 5.2 攻击ACL
  76. 5.3 攻击令牌
  77. 5.3.1 人工预测
  78. 5.3.2 自动预测
  79. 5.3.3 捕捉/重放
  80. 5.3.4 会话完成
  81. 5.4 授权攻击案例研究
  82. 5.4.1 水平权限提升
  83. 5.4.2 垂直权限提升
  84. 5.4.3 差异分析
  85. 5.4.4 当加密失败时
  86. 5.4.5 使用cURL映射权限
  87. 5.5 授权最佳实践
  88. 5.5.1 Web ACL最佳实践
  89. 5.5.2 Web授权/访问令牌安全
  90. 5.5.3 安全日志
  91. 5.6 小结
  92. 5.7 参考与延伸阅读
  93. 第6章 输入注入攻击
  94. 6.1 预料到意外情况
  95. 6.2 何处寻找攻击目标
  96. 6.3 绕过客户端校验例程
  97. 6.4 常见输入注入攻击
  98. 6.4.1 缓冲区溢出
  99. 6.4.2 规范化攻击
  100. 6.4.3 HTML注入
  101. 6.4.4 边界检查
  102. 6.4.5 操纵应用行为
  103. 6.4.6 SQL注入
  104. 6.4.7 XPATH注入
  105. 6.4.8 LDAP注入
  106. 6.4.9 自定义参数注入
  107. 6.4.10 日志注入
  108. 6.4.11 命令执行
  109. 6.4.12 编码误用
  110. 6.4.13 PHP全局变量
  111. 6.4.14 常见的副作用
  112. 6.5 常见对策
  113. 6.6 小结
  114. 6.7 参考与延伸阅读
  115. 第7章 攻击XML Web服务
  116. 7.1 Web服务是什么
  117. 7.1.1 传输:SOAP over HTTP
  118. 7.1.2 WSDL
  119. 7.1.3 目录服务:UDDI和DISCO
  120. 7.1.4 与Web应用安全的相似性
  121. 7.2 攻击Web服务
  122. 7.3 Web服务安全基础
  123. 7.4 小结
  124. 7.5 参考与延伸阅读
  125. 第8章 攻击Web应用管理
  126. 8.1 远程服务器管理
  127. 8.1.1 Telnet
  128. 8.1.2 SSH
  129. 8.1.3 专用管理端口
  130. 8.1.4 其他管理服务
  131. 8.2 Web内容管理
  132. 8.2.1 FTP
  133. 8.2.2 SSH/scp
  134. 8.2.3 FrontPage
  135. 8.2.4 WebDAV
  136. 8.3 错误的配置
  137. 8.3.1 不必要的Web服务器扩展
  138. 8.3.2 引起信息泄露的错误配置
  139. 8.3.3 状态管理的错误配置
  140. 8.4 小结
  141. 8.5 参考与延伸阅读
  142. 第9章 入侵Web客户端
  143. 9.1 漏洞利用
  144. 9.2 骗术
  145. 9.3 一般的对策
  146. 9.3.1 低权限浏览
  147. 9.3.2 Firefox安全扩展
  148. 9.3.3 ActiveX对策
  149. 9.3.4 服务器端对策
  150. 9.4 小结
  151. 9.5 参考与延伸阅读
  152. 第10章 企业Web应用安全计划
  153. 10.1 威胁建模
  154. 10.1.1 澄清安全目标
  155. 10.1.2 识别资产
  156. 10.1.3 架构概要
  157. 10.1.4 分解应用
  158. 10.1.5 识别和记录威胁
  159. 10.1.6 威胁排名
  160. 10.1.7 开发威胁缓解策略
  161. 10.2 代码评审
  162. 10.2.1 人工源代码评审
  163. 10.2.2 自动化源代码评审
  164. 10.2.3 二进制分析
  165. 10.3 Web应用代码安全测试
  166. 10.3.1 模糊测试
  167. 10.3.2 测试工具、实用程序和框架
  168. 10.3.3 渗透测试
  169. 10.4 Web开发过程中的安全
  170. 10.4.1 人员
  171. 10.4.2 过程
  172. 10.4.3 技术
  173. 10.5 小结
  174. 10.6 参考与延伸阅读
  175. 附录A Web安全检查列表
  176. 附录B Web黑客工具和技术快速参考