發表於2024-11-05
安全技術寶典全新升級
深入剖析,實戰演練,使你如飲醍醐
更多精彩,點擊進入品牌店查閱>>
第1章 Web應用程序安全與風險
1.1 Web應用程序的發展曆程
1.1.1 Web應用程序的常見功能
1.1.2 Web應用程序的優點
1.2 Web應用程序安全
1.2.1 “本站點是安全的”
1.2.2 核心安全問題:用戶可提交任意輸入
1.2.3 關鍵問題因素
1.2.4 新的安全邊界
1.2.5 Web應用程序安全的未來
1.3 小結
第2章 核心防禦機製
2.1 處理用戶訪問
2.1.1 身份驗證
2.1.2 會話管理
2.1.3 訪問控製
2.2 處理用戶輸入
2.2.1 輸入的多樣性
2.2.2 輸入處理方法
2.2.3 邊界確認
2.2.4 多步確認與規範化
2.3 處理攻擊者
2.3.1 處理錯誤
2.3.2 維護審計日誌
2.3.3 嚮管理員發齣警報
2.3.4 應對攻擊
2.4 管理應用程序
2.5 小結
2.6 問題
第3章 Web應用程序技術
3.1 HTTP
3.1.1 HTTP請求
3.1.2 HTTP響應
3.1.3 HTTP方法
3.1.4 URL
3.1.5 REST
3.1.6 HTTP消息頭
3.1.7 cookie
3.1.8 狀態碼
3.1.9 HTTPS
3.1.10 HTTP代理
3.1.11 HTTP身份驗證
3.2 Web功能
3.2.1 服務器端功能
3.2.2 客戶端功能
3.2.3 狀態與會話
3.3 編碼方案
3.3.1 URL編碼
3.3.2 Unicode編碼
3.3.3 HTML編碼
3.3.4 Base64編碼
3.3.5 十六進製編碼
3.3.6 遠程和序列化框架
3.4 下一步
3.5 問題
第4章 解析應用程序
4.1 枚舉內容與功能
4.1.1 Web抓取
4.1.2 用戶指定的抓取
4.1.3 發現隱藏的內容
4.1.4 應用程序頁麵與功能路徑
4.1.5 發現隱藏的參數
4.2 分析應用程序
4.2.1 確定用戶輸入入口點
4.2.2 確定服務器端技術
4.2.3 確定服務器端功能
4.2.4 解析受攻擊麵
4.2.5 解析Extreme Internet Shopping應用程序
4.3 小結
4.4 問題
第5章 避開客戶端控件
5.1 通過客戶端傳送數據
5.1.1 隱藏錶單字段
5.1.2 HTTP cookie
5.1.3 URL參數
5.1.4 Referer消息頭
5.1.5 模糊數據
5.1.6 ASP.NET ViewState
5.2 收集用戶數據:HTML錶單
5.2.1 長度限製
5.2.2 基於腳本的確認
5.2.3 禁用的元素
5.3 收集用戶數據:瀏覽器擴展
5.3.1 常見的瀏覽器擴展技術
5.3.2 攻擊瀏覽器擴展的方法
5.3.3 攔截瀏覽器擴展的流量
5.3.4 反編譯瀏覽器擴展
5.3.5 附加調試器
5.3.6 本地客戶端組件
5.4 安全處理客戶端數據
5.4.1 通過客戶端傳送數據
5.4.2 確認客戶端生成的數據
5.4.3 日誌與警報
5.5 小結
5.6 問題
第6章 攻擊驗證機製
6.1 驗證技術
6.2 驗證機製設計缺陷
6.2.1 密碼保密性不強
6.2.2 蠻力攻擊登錄
6.2.3 詳細的失敗消息
6.2.4 證書傳輸易受攻擊
6.2.5 密碼修改功能
6.2.6 忘記密碼功能
6.2.7 “記住我”功能
6.2.8 用戶僞裝功能
6.2.9 證書確認不完善
6.2.10 非唯一性用戶名
6.2.11 可預測的用戶名
6.2.12 可預測的初始密碼
6.2.13 證書分配不安全
6.3 驗證機製執行缺陷
6.3.1 故障開放登錄機製
6.3.2 多階段登錄機製中的缺陷
6.3.3 不安全的證書存儲
6.4 保障驗證機製的安全
6.4.1 使用可靠的證書
6.4.2 安全處理證書
6.4.3 正確確認證書
6.4.4 防止信息泄露
6.4.5 防止蠻力攻擊
6.4.6 防止濫用密碼修改功能
6.4.7 防止濫用賬戶恢復功能
6.4.8 日誌、監控與通知
6.5 小結
6.6 問題
第7章 攻擊會話管理
7.1 狀態要求
7.2 會話令牌生成過程中的薄弱環節
7.2.1 令牌有一定含義
7.2.2 令牌可預測
7.2.3 加密令牌
7.3 會話令牌處理中的薄弱環節
7.3.1 在網絡上泄露令牌
7.3.2 在日誌中泄露令牌
7.3.3 令牌-會話映射易受攻擊
7.3.4 會話終止易受攻擊
7.3.5 客戶端暴露在令牌劫持風險之中
7.3.6 寬泛的cookie範圍
7.4 保障會話管理的安全
7.4.1 生成強大的令牌
7.4.2 在整個生命周期保障令牌的安全
7.4.3 日誌、監控與警報
7.5 小結
7.6 問題
第8章 攻擊訪問控製
8.1 常見漏洞
8.1.1 完全不受保護的功能
8.1.2 基於標識符的功能
8.1.3 多階段功能
8.1.4 靜態文件
8.1.5 平颱配置錯誤
8.1.6 訪問控製方法不安全
8.2 攻擊訪問控製
8.2.1 使用不同用戶賬戶進行測試
8.2.2 測試多階段過程
8.2.3 通過有限訪問權限進行測試
8.2.4 測試“直接訪問方法”
8.2.5 測試對靜態資源的控製
8.2.6 測試對HTTP方法實施的限製
8.3 保障訪問控製的安全
8.4 小結
8.5 問題
第9章 攻擊數據存儲區
9.1 注入解釋型語言
9.2 注入SQL
9.2.1 利用一個基本的漏洞
9.2.2 注入不同的語句類型
9.2.3 查明SQL注入漏洞
9.2.4 “指紋”識彆數據庫
9.2.5 UNION操作符
9.2.6 提取有用的數據
9.2.7 使用UNION提取數據
9.2.8 避開過濾
9.2.9 二階SQL注入
9.2.10 高級利用
9.2.11 SQL注入之外:擴大數據庫攻擊範圍
9.2.12 使用SQL注入工具
9.2.13 SQL語法與錯誤參考
9.2.14 防止SQL注入
9.3 注入NoSQL
9.4 注入XPath
9.4.1 破壞應用程序邏輯
9.4.2 謹慎XPath注入
9.4.3 盲目XPath注入
9.4.4 查找XPath注入漏洞
9.4.5 防止XPath注入
9.5 注入LDAP
9.5.1 利用LDAP注入
9.5.2 查找LDAP注入漏洞
9.5.3 防止LDAP注入
9.6 小結
9.7 問題
第10章 測試後端組件
10.1 注入操作係統命令
10.1.1 例1:通過Perl注入
10.1.2 例2:通過ASP注入
10.1.3 通過動態執行注入
10.1.4 查找OS命令注入漏洞
10.1.5 查找動態執行漏洞
10.1.6 防止OS命令注入
10.1.7 防止腳本注入漏洞
10.2 操作文件路徑
10.2.1 路徑遍曆漏洞
10.2.2 文件包含漏洞
10.3 注入XML解釋器
10.3.1 注入XML外部實體
10.3.2 注入SOAP
10.3.3 查找並利用SOAP注入
10.3.4 防止SOAP注入
10.4 注入後端HTTP請求
10.4.1 服務器端HTTP重定嚮
10.4.2 HTTP參數注入
10.5 注入電子郵件
10.5.1 操縱電子郵件標頭
10.5.2 SMTP命令注入
10.5.3 查找SMTP注入漏洞
10.5.4 防止SMTP注入
10.6 小結
10.7 問題
第11章 攻擊應用程序邏輯
11.1 邏輯缺陷的本質
11.2 現實中的邏輯缺陷
11.2.1 例1:徵求提示
11.2.2 例2:欺騙密碼修改功能
11.2.3 例3:直接結算
11.2.4 例4:修改保險單
11.2.5 例5:入侵銀行
11.2.6 例6:規避交易限製
11.2.7 例7:獲得大幅摺扣
11.2.8 例8:避免轉義
11.2.9 例9:避開輸入確認
11.2.10 例10:濫用搜索功能
11.2.11 例11:利用調試消息
11.2.12 例12:與登錄機製競賽
11.3 避免邏輯缺陷
11.4 小結
11.5 問題
第12章 攻擊其他用戶
12.1 XSS的分類
12.1.1 反射型XSS漏洞
12.1.2 保存型XSS漏洞
12.1.3 基於DOM的XSS漏洞
12.2 進行中的XSS攻擊
12.2.1 真實XSS攻擊
12.2.2 XSS攻擊有效載荷
12.2.3 XSS攻擊的傳送機製
12.3 查找並利用XSS漏洞
12.3.1 查找並利用反射型XSS漏洞
12.3.2 查找並利用保存型XSS漏洞
12.3.3 查找並利用基於DOM的XSS漏洞
12.4 防止XSS攻擊
12.4.1 防止反射型與保存型XSS漏洞
12.4.2 防止基於DOM的XSS漏洞
12.5 小結
12.6 問題
……
黑客攻防技術寶典 Web實戰篇 第2版 下載 mobi pdf epub txt 電子書 格式 2024
黑客攻防技術寶典 Web實戰篇 第2版 下載 mobi epub pdf 電子書物流很快,內容也詳細
評分快遞一星,書就不能保護好嗎,每次都有損壞
評分理論太多,隻有以後再消化瞭!
評分很好
評分書不錯,需要慢慢的研讀
評分我聽彆人說也來購買,不知道到底怎麼樣,看樣子是挺不錯的
評分很不錯的一本書,正在學習。
評分頂………………
評分感覺很多東西沒用,也可能是我看不懂
黑客攻防技術寶典 Web實戰篇 第2版 mobi epub pdf txt 電子書 格式下載 2024