计算机
类型
可以朗读
语音朗读
118千字
字数
2020-10-01
发行日期
展开全部
主编推荐语
本书不仅介绍各种常见安全问题出现的原理,还有攻击是如何产生的,以及重要的是如何防护各种攻击。
内容简介
本书内容包括注入攻击、XSS与XXE攻击、认证与授权攻击、开放重定向与IFrame框架钓鱼攻击、CSRF/SSRF与远程代码执行攻击、不安全配置与路径遍历攻击、不安全的直接对象引用与应用层逻辑漏洞攻击、客户端绕行与文件上传攻击、弱与不安全的加密算法攻击、暴力破解与HTTP Header攻击、HTTP参数污染\篡改与缓存溢出攻击,还讲解了两种安全测试工具的使用,包括Burp Suite和ZAP。
本书既可作为高等院校计算机类、信息类、工程和管理类专业网络安全相关课程的教材,也可作为软件开发工程师、软件测试工程师、信息安全工程师、信息安全架构师等的参考书或培训指导书。
目录
- 版权信息
- 高等教育网络空间安全规划教材编委会成员名单
- 前言
- 第1章 注入攻击实训
- 1.1 知识要点与实验目标
- 1.1.1 SQL注入攻击
- 1.1.2 HTML注入攻击
- 1.1.3 CRLF注入攻击
- 1.1.4 XPath注入攻击
- 1.1.5 Template注入攻击
- 1.1.6 实验目的及需要达到的目标
- 1.2 Testfire 网站有 SQL 注入风险
- 1.3 Testasp 网站有 SQL 注入风险
- 1.4 CTF Micro-CMS v2网站有SQL注入风险
- 1.5 Testfire网站有HTML注入风险
- 1.6 近期注入攻击披露
- 1.7 扩展练习
- 第2章 XSS与XXE攻击实训
- 2.1 知识要点与实验目标
- 2.1.1 XSS攻击定义及产生原理
- 2.1.2 XSS攻击危害及分类
- 2.1.3 XSS漏洞常出现场合
- 2.1.4 XXE攻击定义及产生原理
- 2.1.5 XXE攻击危害
- 2.1.6 实验目的及需要达到的目标
- 2.2 Testfire网站有XSS攻击风险
- 2.3 Webscantest网站存在XSS攻击危险
- 2.4 CTF Micro-CMS v1网站有XSS攻击风险
- 2.5 近期XSS与XXE攻击披露
- 2.6 扩展练习
- 第3章 认证与授权攻击实训
- 3.1 知识要点与实验目标
- 3.1.1 认证与授权定义
- 3.1.2 认证与授权攻击产生原因
- 3.1.3 认证可能出现的问题
- 3.1.4 授权可能出现的问题
- 3.1.5 常见授权类型
- 3.1.6 实验目的及需要达到的目标
- 3.2 Zero网站能获得管理员身份
- 3.3 CTF Postbook用户A能修改用户B数据
- 3.4 CTF Postbook用户A能用他人身份创建数据
- 3.5 近期认证与授权攻击披露
- 3.6 扩展练习
- 第4章 开放重定向与IFrame框架钓鱼攻击实训
- 4.1 知识要点与实验目标
- 4.1.1 开放重定向定义和产生原理
- 4.1.2 开放重定向常见样例与危害
- 4.1.3 IFrame框架钓鱼定义和产生原理
- 4.1.4 钓鱼网站传播途径与IFrame框架分类
- 4.1.5 实验目的及需要达到的目标
- 4.2 Testasp网站未经认证的跳转
- 4.3 Testaspnet网站未经认证的跳转
- 4.4 Testaspnet网站有框架钓鱼风险
- 4.5 Testasp网站有框架钓鱼风险
- 4.6 近期开放重定向与IFrame框架钓鱼攻击披露
- 4.7 扩展练习
- 第5章 CSRF/SSRF与远程代码执行攻击实训
- 5.1 知识要点与实验目标
- 5.1.1 CSRF定义与产生原理
- 5.1.2 SSRF定义与产生原因
- 5.1.3 CSRF/SSRF攻击危害
- 5.1.4 远程代码执行定义与产生原理
- 5.1.5 远程代码执行攻击危害
- 5.1.6 实验目的及需要达到的目标
- 5.2 南大小百合BBS存在CSRF攻击漏洞
- 5.3 新浪weibo存在CSRF攻击漏洞
- 5.4 CTF Cody's First Blog网站有RCE攻击1
- 5.5 CTF Cody's First Blog网站有RCE攻击2
- 5.6 近期CSRF/SSRF与远程代码执行攻击披露
- 5.7 扩展练习
- 第6章 不安全配置与路径遍历攻击实训
- 6.1 知识要点与实验目标
- 6.1.1 不安全配置定义与产生原因
- 6.1.2 不安全的配置危害与常见攻击场景
- 6.1.3 路径遍历攻击定义与产生原因
- 6.1.4 路径遍历攻击常见变种
- 6.1.5 实验目的及需要达到的目标
- 6.2 Testphp网站出错页暴露服务器信息
- 6.3 Testphp网站服务器信息泄露
- 6.4 Testphp网站目录列表暴露
- 6.5 言若金叶软件工程师成长之路目录能被遍历
- 6.6 近期不安全配置与路径遍历攻击披露
- 6.7 扩展练习
- 第7章 不安全的直接对象引用与应用层逻辑漏洞攻击实训
- 7.1 知识要点与实验目标
- 7.1.1 不安全的直接对象引用定义
- 7.1.2 不安全的直接对象引用产生原因
- 7.1.3 应用层逻辑漏洞定义与产生原因
- 7.1.4 应用层逻辑漏洞危害与常见场景
- 7.1.5 实验目的及需要达到的目标
- 7.2 Oricity用户注销后还能邀请好友
- 7.3 Testphp网站数据库结构泄露
- 7.4 Oricity网站有内部测试网页
- 7.5 智慧绍兴-积分管理页随机数问题
- 7.6 近期不安全的直接对象引用与应用层逻辑漏洞攻击披露
- 7.7 扩展练习
- 第8章 客户端绕行与文件上传攻击实训
- 8.1 知识要点与实验目标
- 8.1.1 客户端绕行攻击定义
- 8.1.2 客户端绕行攻击的产生原因与危害
- 8.1.3 文件上传攻击定义与产生原因
- 8.1.4 文件上传攻击常见场景
- 8.1.5 实验目的及需要达到的目标
- 8.2 Oricity网站JS前端控制被绕行
- 8.3 Oricity网站轨迹名采用不同验证规则
- 8.4 Oricity网站上传文件大小限制问题
- 8.5 智慧绍兴-电子刻字不限制上传文件类型
- 8.6 近期客户端绕行与文件上传攻击披露
- 8.7 扩展练习
- 第9章 弱与不安全的加密算法攻击实训
- 9.1 知识要点与实验目标
- 9.1.1 数据加密算法简介
- 9.1.2 Base64编码
- 9.1.3 单项散列函数
- 9.1.4 对称加密算法
- 9.1.5 非对称加密
- 9.1.6 数字证书 (权威机构CA)
- 9.1.7 实验目的及需要达到的目标
- 9.2 CTF Postbook删除帖子有不安全加密算法
- 9.3 CTF Postbook用户身份Cookie有不安全加密算法
- 9.4 近期弱与不安全的加密算法攻击披露
- 9.5 扩展练习
- 第10章 暴力破解与HTTP Header攻击实训
- 10.1 知识要点与实验目标
- 10.1.1 暴力破解与定义
- 10.1.2 暴力破解分类
- 10.1.3 HTTP Header安全定义
- 10.1.4 HTTP Header安全常见设置
- 10.1.5 实验目的及需要达到的目标
- 10.2 Testfire网站登录页面有暴力破解风险
- 10.3 CTF Micro-CMS v2网站有暴力破解风险
- 10.4 Testfire网站Cookies没有HttpOnly
- 10.5 Testphp网站密码未加密传输
- 10.6 近期暴力破解与HTTP Header攻击披露
- 10.7 扩展练习
- 第11章 HTTP 参数污染/篡改与缓存溢出攻击实训
- 11.1 知识要点与实验目标
- 11.1.1 HTTP参数污染定义与产生原因
- 11.1.2 HTTP参数篡改定义与产生原因
- 11.1.3 HTTP参数污染/篡改的危害
- 11.1.4 缓存溢出攻击定义与产生原因
- 11.1.5 常见缓存溢出攻击方式
- 11.1.6 实验目的及需要达到的目标
- 11.2 Oricity网站URL篡改暴露代码细节
- 11.3 CTF Postbook网站查看帖子id可以参数污染
- 11.4 CTF Cody's First Blog网站admin篡改绕行漏洞
- 11.5 近期HTTP 参数污染/篡改与缓存溢出攻击披露
- 11.6 扩展练习
- 第12章 安全集成攻击平台Burp Suite实训
- 12.1 Burp Suite主要功能
- 12.2 安装Burp Suite
- 12.2.1 环境需求
- 12.2.2 安装步骤
- 12.3 工作流程及配置
- 12.3.1 Burp Suite框架与工作流程
- 12.3.2 Burp Suite代理配置
- 12.3.3 浏览器代理配置
- 12.4 Proxy工具
- 12.5 Spider工具
- 12.6 Scanner工具
- 12.6.1 Scanner使用介绍
- 12.6.2 Scanner操作
- 12.6.3 Scanner报告
- 12.7 Intruder工具
- 12.7.1 字典攻击步骤
- 12.7.2 字典攻击结果
- 12.8 Repeater工具
- 12.9 Sequencer工具
- 12.10 Decoder工具
- 12.11 Comparer工具
- 12.12 扩展练习
- 第13章 安全渗透测试工具ZAP实训
- 13.1 ZAP工具的特点
- 13.2 安装ZAP
- 13.2.1 环境需求
- 13.2.2 安装步骤
- 13.3 基本原则
- 13.3.1 配置代理
- 13.3.2 ZAP的整体框架
- 13.3.3 用户界面
- 13.3.4 基本设置
- 13.3.5 工作流程
- 13.4 自动扫描实例
- 13.4.1 扫描配置
- 13.4.2 扫描步骤
- 13.4.3 进一步扫描
- 13.4.4 扫描结果
- 13.5 手动扫描实例
- 13.5.1 扫描配置
- 13.5.2 扫描步骤
- 13.5.3 扫描结果
- 13.6 扫描报告
- 13.6.1 IDE中的警报Alerts
- 13.6.2 生成报告
- 13.6.3 安全扫描报告分析
- 13.7 扩展练习
- 参考文献
展开全部
出版方
机械工业出版社
机械工业出版社是全国优秀出版社,自1952年成立以来,坚持为科技、为教育服务,以向行业、向学校提供优质、权威的精神产品为宗旨,以“服务社会和人民群众需求,传播社会主义先进文化”为己任,产业结构不断完善,已由传统的图书出版向着图书、期刊、电子出版物、音像制品、电子商务一体化延伸,现已发展为多领域、多学科的大型综合性出版社,涉及机械、电工电子、汽车、计算机、经济管理、建筑、ELT、科普以及教材、教辅等领域。