飞速星空

您的位置: 下载首页 → 电子书 → 《Web入侵安全测试与对策-(含光盘)》电子版

跳到下载链接 《Web入侵安全测试与对策-(含光盘)》电子版

软件简介


毫无疑问:黑客们会对你的Web网站、应用程序和服务器进行残忍的攻击。如果网站存在漏洞,那么最好在这些黑客之前自己先发现这些攻击。现在就有了一本对基于Web的软件进行安全性测试的权威的随身指南。
在本书中,两位资深专家介绍了各种针对Web软件的攻击:对于客户机、服务器、状态、用户输入等方面的攻击。随着对Web架构和代码当中大量关键的和经常遭到攻击的漏洞的深入了解,你将逐步掌握强大的攻击工具和技术。
作者揭示了如何发现潜在的威胁和攻击的方向,怎样对它们一一进行严格的测试,以及如何消除这些发现的问题。所涵盖的内容包括:
·客户机的漏洞,包括对客户端验证的攻击;
·基于状态的攻击:隐藏域.CGI参数、破坏cookie,URL跳跃以及会话劫持;
·针对用户提交的输入数据的攻击:跨页面脚本,SQL注入以及目录遍历;
·基于语言和技术的攻击:缓冲区溢出、公理化和NULL字符串攻击;
·对服务器的攻击:存储过程的SQL注入、命令注入以及服务器鉴别;
·加密、隐私以及针对Web服务的攻击
Web软件的运作是最关键的,绝不能有丝毫马虎。无论你是一名开发人员、测试人员,QA专家,或是IT经理,本书都会帮助你保护好你的软件产品——而且是系统性的。
第1章与众不同的Web1
1.1本章内容1
1.2简介1
1.3WorldWideWeb2
1.4Web世界的价值4
1.5Web和客户机-服务器5
1.6Web应用的一个粗略模型7
1.6.1Web服务器7
1.6.2Web客户机8
1.6.3网络8
1.7结论9
第2章获取目标的信息11
2.1本章内容11
2.2简介11
2.3攻击1:淘金11
2.3.1何时使用这种攻击12
2.3.2如何实施这种攻击12
2.3.3如何防范这种攻击18
2.4攻击2:猜测文件与目录18
2.4.1何时使用这种攻击19
2.4.2如何实施这种攻击19
2.4.3如何防范这种攻击22
2.5攻击3:其他人留下的漏洞——样例程序的缺陷23
2.5.1何时使用这种攻击23
2.5.2如何实施这种攻击23
2.5.3如何防范这种攻击24
第3章攻击客户机25
3.1本章内容25
3.2简介25
3.3攻击4:绕过对输入选项的限制26
3.3.1何时使用这种攻击27
3.3.2如何实施这种攻击27
3.3.3如何防范这种攻击30
3.4攻击5:绕过客户机端的验证31
3.4.1何时使用这种攻击32
3.4.2如何实施这种攻击32
3.4.3如何防范这种攻击34
第4章基于状态的攻击37
4.1本章内容37
4.2简介37
4.3攻击6:隐藏域38
4.3.1何时使用这种攻击38
4.3.2如何实施这种攻击40
4.3.3如何防范这种攻击41
4.4攻击7:CGI参数41
4.4.1何时使用这种攻击42
4.4.2如何实施这种攻击42
4.4.3如何防范这种攻击45
4.5攻击8:破坏cookie45
4.5.1何时使用这种攻击46
4.5.2如何实施这种攻击46
4.5.3如何防范这种攻击48
4.6攻击9:URL跳跃48
4.6.1何时使用这种攻击48
4.6.2如何实施这种攻击49
4.6.3如何防范这种攻击50
4.7攻击10:会话劫持51
4.7.1何时使用这种攻击52
4.7.2如何实施这种攻击52
4.7.3如何防范这种攻击54
4.8参考文献55
第5章攻击用户提交的输入数据57
5.1本章内容57
5.2简介57
5.3攻击11:跨站点脚本57
5.3.1何时使用这种攻击59
5.3.2如何实施这种攻击59
5.3.3如何防范这种攻击63
5.4攻击12:SQL注入64
5.4.1何时使用这种攻击65
5.4.2如何实施这种攻击65
5.4.3如何防范这种攻击68
5.5攻击13:目录遍历69
5.5.1何时使用这种攻击69
5.5.2如何实施这种攻击69
5.5.3如何防范这种攻击71
第6章基于语言的攻击73
6.1本章内容73
6.2简介73
6.3攻击14:缓冲区溢出73
6.3.1何时使用这种攻击74
6.3.2如何实施这种攻击75
6.3.3如何防范这种攻击77
6.4攻击15:公理化78
6.4.1何时使用这种攻击79
6.4.2如何实施这种攻击79
6.4.3如何防范这种攻击81
6.5攻击16:NULL字符攻击81
6.5.1何时使用这种攻击82
6.5.2如何实施这种攻击83
6.5.3如何防范这种攻击83
第7章获取目标的信息85
7.1本章内容85
7.2简介85
7.3攻击17:SQL注入II——存储过程85
7.3.1何时使用这种攻击86
7.3.2如何实施这种攻击86
7.3.3如何防范这种攻击87
7.4攻击18:命令注入88
7.4.1何时使用这种攻击89
7.4.2如何实施这种攻击90
7.4.3如何防范这种攻击90
7.5攻击19:探测服务器90
7.5.1何时使用这种攻击91
7.5.2如何实施这种攻击92
7.5.3如何防范这种攻击95
7.6攻击20:拒绝服务96
7.6.1何时使用这种攻击96
7.6.2如何实施这种攻击97
7.6.3如何防范这种攻击97
7.7参考文献97
第8章认证99
8.1本章内容99
8.2简介99
8.3攻击21:伪装型加密99
8.3.1何时使用这种攻击100
8.3.2如何实施这种攻击101
8.3.3如何防范这种攻击103
8.4攻击22:认证破坏103
8.4.1何时使用这种攻击105
8.4.2如何实施这种攻击105
8.4.3如何防范这种攻击106
8.5攻击23:跨站点跟踪107
8.5.1何时使用这种攻击109
8.5.2如何实施这种攻击109
8.5.3如何防范这种攻击110
8.6攻击24:暴力破解低强度密钥110
8.6.1何时使用这种攻击112
8.6.2如何实施这种攻击113
8.6.3如何防范这种攻击113
8.7参考文献115
第9章隐私117
9.1本章内容117
9.2简介117
9.3用户代理118
9.4原文120
9.5cookie121
9.6WebBugs123
9.7对剪切板的存取124
9.8页面缓存125
9.9ActiveX控件127
9.10浏览器辅助对象127
第10章Web服务129
10.1本章内容129
10.2简介129
10.3什么是Web服务129
10.4XML130
10.5SOAP131
10.6WSDL132
10.7UDDI132
10.8威胁133
10.8.1WSDL扫描攻击133
10.8.2参数篡改134
10.8.3XPATH注入攻击134
10.8.4递归负载攻击135
10.8.5过载攻击136
10.8.6外部实体攻击136
附录A软件产业50年:质量为先139
A.11950—1959年:起源139
A.21960—1969年:远行140
A.31970—1979年:混乱141
A.41980—1989年:重建142
A.4.1CASE工具142
A.4.2形式方法143
A.51990—1999年:发展144
A.62000—2009年:工程化?145
附录B电子花店的bug149
附录C工具155
C.1TextPad155
C.2Nikto156
C.3Wikto159
C.4Stunnel164
C.5BlackWidow165
C.6Wget167
C.7cURL169
C.8Paros171
C.9SPIKEProxy173
C.10SSLDigger176
C.11大脑177

网友留言