Hacking exposed Web applications:Web application security secrets and solutions
副标题:无
作 者:(美)Joel Scambray,(美)Vincent Liu,(美)Caleb Sima;姚军等译
分类号:
ISBN:9787111356622
微信扫一扫,移动浏览光盘
简介
《黑客大曝光:Web应用程序安全(原书第3版)》内容简介:All Rights reserved. No part of this publication may be reproduced or transmitted in any form or by any means, electronic or mechanical, including without limitation photocopying, recording, taping, or any database, information or retrieval system, without the prior written permission of the publisher.
This authorized Chinese translation edition is jointly published by McGraw-Hill Education (Asia) and China Machine Press.This edition is authorized for sale in the People抯 Republic of China only, excluding Hong Kong, Macao SAR and Taiwan.
Copyright 2011 by McGraw-Hill Education (Asia), a division of the Singapore Branch of The McGraw-Hill Companies, Inc. and China Machine Press.
目录
对本书的赞誉
译者序
序言
前言
作者简介
致谢
第1章 web应用入侵基础1
1.1 什么是web应用入侵1
1.1.1 gui web入侵1
1.1.2 uri入侵2
1.1.3 方法、首部和主体3
1.1.4 资源4
1.1.5 验证、会话和授权5
1.1.6 web客户端与html5
1.1.7 其他协议6
1.2 为什么攻击web应用7
1.3 谁、何时、何处8
1.4 web应用是如何遭到攻击的9
1.4.1 web浏览器9
1.4.2 浏览器扩展10
1.4.3 http代理14
1.4.4 命令行工具19
1.4.5 较老的工具20
1.5 小结20
1.6 参考与延伸阅读20
第2章 剖析23
2.1 基础架构剖析23
2.1.1 足迹法和扫描:定义范围23
2.1.2 基本的标志获取24
2.1.3 高级http指纹识别25
2.1.4 基础架构中介28
2.2 应用剖析34
2.2.1 手工检查34
2.2.2 剖析所用的搜索工具50
2.2.3 自动化的web爬行55
2.2.4 常见web应用剖析60
2.3 一般对策63
2.3.1 警告63
2.3.2 保护目录63
2.3.3 保护包含文件64
2.3.4 其他技巧64
2.4 小结65
2.5 参考与延伸阅读65
第3章 web平台入侵67
3.1 用metasploit进行点击攻击68
3.2 手工攻击70
3.3 逃避检测80
3.4 web平台安全最佳实践82
3.4.1 通用的最佳实践82
3.4.2 iis加固84
3.4.3 apache加固87
3.4.4 php最佳实践90
3.5 小结91
3.6 参考与延伸阅读92
第4章 攻击web验证94
4.1 web验证威胁94
4.1.1 用户名/密码威胁94
4.1.2 (更)强的web验证108
4.1.3 web验证服务111
4.2 绕过验证114
4.2.1 令牌重放114
4.2.2 跨站请求伪造116
4.2.3 身份管理118
4.2.4 客户端借道法121
4.3 最后一些想法:身份盗窃122
4.4 小结122
4.5 参考与延伸阅读123
第5章 攻击web授权126
5.1 授权指纹识别127
5.1.1 acl爬行127
5.1.2 识别访问令牌128
5.1.3 分析会话令牌129
5.1.4 差异分析131
5.1.5 角色矩阵132
5.2 攻击acl132
5.3 攻击令牌134
5.3.1 人工预测134
5.3.2 自动预测140
5.3.3 捕捉/重放145
5.3.4 会话完成146
5.4 授权攻击案例研究147
5.4.1 水平权限提升147
5.4.2 垂直权限提升151
5.4.3 差异分析153
5.4.4 当加密失败时155
5.4.5 使用curl映射权限155
5.5 授权最佳实践158
5.5.1 web acl最佳实践158
5.5.2 web授权/访问令牌安全161
5.5.3 安全日志163
5.6 小结163
5.7 参考与延伸阅读164
第6章 输入注入攻击166
6.1 预料到意外情况167
6.2 何处寻找攻击目标167
6.3 绕过客户端校验例程168
6.4 常见输入注入攻击169
6.4.1 缓冲区溢出169
6.4.2 规范化攻击170
6.4.3 html注入174
6.4.4 边界检查177
6.4.5 操纵应用行为178
6.4.6 sql注入179
6.4.7 xpath注入189
6.4.8 ldap注入191
6.4.9 自定义参数注入192
6.4.10 日志注入193
6.4.11 命令执行193
6.4.12 编码误用195
6.4.13 php全局变量195
6.4.14 常见的副作用196
6.5 常见对策196
6.6 小结197
6.7 参考与延伸阅读198
第7章 攻击xml web服务200
7.1 web服务是什么200
7.1.1 传输:soap over http201
7.1.2 wsdl204
7.1.3 目录服务:uddi和disco205
7.1.4 与web应用安全的相似性209
7.2 攻击web服务209
7.3 web服务安全基础216
7.4 小结219
7.5 参考与延伸阅读219
第8章 攻击web应用管理221
8.1 远程服务器管理221
8.1.1 telnet221
8.1.2 ssh222
8.1.3 专用管理端口222
8.1.4 其他管理服务223
8.2 web内容管理224
8.2.1 ftp224
8.2.2 ssh/scp224
8.2.3 frontpage225
8.2.4 webdav226
8.3 错误的配置231
8.3.1 不必要的web服务器扩展232
8.3.2 引起信息泄露的错误配置234
8.3.3 状态管理的错误配置245
8.4 小结249
8.5 参考与延伸阅读250
第9章 入侵web客户端251
9.1 漏洞利用251
9.2 骗术264
9.3 一般的对策269
9.3.1 低权限浏览269
9.3.2 firefox安全扩展271
9.3.3 activex对策271
9.3.4 服务器端对策273
9.4 小结274
9.5 参考与延伸阅读274
第10章 企业web应用安全计划277
10.1 威胁建模277
10.1.1 澄清安全目标278
10.1.2 识别资产279
10.1.3 架构概要279
10.1.4 分解应用280
10.1.5 识别和记录威胁280
10.1.6 威胁排名282
10.1.7 开发威胁缓解策略283
10.2 代码评审284
10.2.1 人工源代码评审284
10.2.2 自动化源代码评审288
10.2.3 二进制分析288
10.3 web应用代码安全测试296
10.3.1 模糊测试296
10.3.2 测试工具、实用程序和框架298
10.3.3 渗透测试298
10.4 web开发过程中的安全299
10.4.1 人员299
10.4.2 过程301
10.4.3 技术303
10.5 小结305
10.6 参考与延伸阅读305
附录a web安全检查列表308
附录b web黑客工具和技术快速参考312
译者序
序言
前言
作者简介
致谢
第1章 web应用入侵基础1
1.1 什么是web应用入侵1
1.1.1 gui web入侵1
1.1.2 uri入侵2
1.1.3 方法、首部和主体3
1.1.4 资源4
1.1.5 验证、会话和授权5
1.1.6 web客户端与html5
1.1.7 其他协议6
1.2 为什么攻击web应用7
1.3 谁、何时、何处8
1.4 web应用是如何遭到攻击的9
1.4.1 web浏览器9
1.4.2 浏览器扩展10
1.4.3 http代理14
1.4.4 命令行工具19
1.4.5 较老的工具20
1.5 小结20
1.6 参考与延伸阅读20
第2章 剖析23
2.1 基础架构剖析23
2.1.1 足迹法和扫描:定义范围23
2.1.2 基本的标志获取24
2.1.3 高级http指纹识别25
2.1.4 基础架构中介28
2.2 应用剖析34
2.2.1 手工检查34
2.2.2 剖析所用的搜索工具50
2.2.3 自动化的web爬行55
2.2.4 常见web应用剖析60
2.3 一般对策63
2.3.1 警告63
2.3.2 保护目录63
2.3.3 保护包含文件64
2.3.4 其他技巧64
2.4 小结65
2.5 参考与延伸阅读65
第3章 web平台入侵67
3.1 用metasploit进行点击攻击68
3.2 手工攻击70
3.3 逃避检测80
3.4 web平台安全最佳实践82
3.4.1 通用的最佳实践82
3.4.2 iis加固84
3.4.3 apache加固87
3.4.4 php最佳实践90
3.5 小结91
3.6 参考与延伸阅读92
第4章 攻击web验证94
4.1 web验证威胁94
4.1.1 用户名/密码威胁94
4.1.2 (更)强的web验证108
4.1.3 web验证服务111
4.2 绕过验证114
4.2.1 令牌重放114
4.2.2 跨站请求伪造116
4.2.3 身份管理118
4.2.4 客户端借道法121
4.3 最后一些想法:身份盗窃122
4.4 小结122
4.5 参考与延伸阅读123
第5章 攻击web授权126
5.1 授权指纹识别127
5.1.1 acl爬行127
5.1.2 识别访问令牌128
5.1.3 分析会话令牌129
5.1.4 差异分析131
5.1.5 角色矩阵132
5.2 攻击acl132
5.3 攻击令牌134
5.3.1 人工预测134
5.3.2 自动预测140
5.3.3 捕捉/重放145
5.3.4 会话完成146
5.4 授权攻击案例研究147
5.4.1 水平权限提升147
5.4.2 垂直权限提升151
5.4.3 差异分析153
5.4.4 当加密失败时155
5.4.5 使用curl映射权限155
5.5 授权最佳实践158
5.5.1 web acl最佳实践158
5.5.2 web授权/访问令牌安全161
5.5.3 安全日志163
5.6 小结163
5.7 参考与延伸阅读164
第6章 输入注入攻击166
6.1 预料到意外情况167
6.2 何处寻找攻击目标167
6.3 绕过客户端校验例程168
6.4 常见输入注入攻击169
6.4.1 缓冲区溢出169
6.4.2 规范化攻击170
6.4.3 html注入174
6.4.4 边界检查177
6.4.5 操纵应用行为178
6.4.6 sql注入179
6.4.7 xpath注入189
6.4.8 ldap注入191
6.4.9 自定义参数注入192
6.4.10 日志注入193
6.4.11 命令执行193
6.4.12 编码误用195
6.4.13 php全局变量195
6.4.14 常见的副作用196
6.5 常见对策196
6.6 小结197
6.7 参考与延伸阅读198
第7章 攻击xml web服务200
7.1 web服务是什么200
7.1.1 传输:soap over http201
7.1.2 wsdl204
7.1.3 目录服务:uddi和disco205
7.1.4 与web应用安全的相似性209
7.2 攻击web服务209
7.3 web服务安全基础216
7.4 小结219
7.5 参考与延伸阅读219
第8章 攻击web应用管理221
8.1 远程服务器管理221
8.1.1 telnet221
8.1.2 ssh222
8.1.3 专用管理端口222
8.1.4 其他管理服务223
8.2 web内容管理224
8.2.1 ftp224
8.2.2 ssh/scp224
8.2.3 frontpage225
8.2.4 webdav226
8.3 错误的配置231
8.3.1 不必要的web服务器扩展232
8.3.2 引起信息泄露的错误配置234
8.3.3 状态管理的错误配置245
8.4 小结249
8.5 参考与延伸阅读250
第9章 入侵web客户端251
9.1 漏洞利用251
9.2 骗术264
9.3 一般的对策269
9.3.1 低权限浏览269
9.3.2 firefox安全扩展271
9.3.3 activex对策271
9.3.4 服务器端对策273
9.4 小结274
9.5 参考与延伸阅读274
第10章 企业web应用安全计划277
10.1 威胁建模277
10.1.1 澄清安全目标278
10.1.2 识别资产279
10.1.3 架构概要279
10.1.4 分解应用280
10.1.5 识别和记录威胁280
10.1.6 威胁排名282
10.1.7 开发威胁缓解策略283
10.2 代码评审284
10.2.1 人工源代码评审284
10.2.2 自动化源代码评审288
10.2.3 二进制分析288
10.3 web应用代码安全测试296
10.3.1 模糊测试296
10.3.2 测试工具、实用程序和框架298
10.3.3 渗透测试298
10.4 web开发过程中的安全299
10.4.1 人员299
10.4.2 过程301
10.4.3 技术303
10.5 小结305
10.6 参考与延伸阅读305
附录a web安全检查列表308
附录b web黑客工具和技术快速参考312
Hacking exposed Web applications:Web application security secrets and solutions
- 名称
- 类型
- 大小
光盘服务联系方式: 020-38250260 客服QQ:4006604884
云图客服:
用户发送的提问,这种方式就需要有位在线客服来回答用户的问题,这种 就属于对话式的,问题是这种提问是否需要用户登录才能提问
Video Player
×
Audio Player
×
pdf Player
×
