互联网 类型
8.6 豆瓣评分
可以朗读 语音朗读
618千字 字数
2012-06-01 发行日期
展开全部

主编推荐语

本书是探索和研究Web应用程序安全漏洞的实践指南。

内容简介

在本书中,作者利用大量的实际案例和示例代码,详细介绍了各类Web应用程序的弱点,并深入阐述了如何针对Web应用程序进行具体的渗透测试。本书从介绍当前Web应用程序安全概况开始,重点讨论渗透测试时使用的详细步骤和技巧,总结书中涵盖的主题。每章后还附有习题,便于读者巩固所学内容。

第2版新增了Web应用程序安全领域近年来的发展变化新情况,并以尝试访问的链接形式提供了几百个互动式“漏洞实验室”,便于读者迅速掌握各种攻防知识与技能。

目录

  • 版权信息
  • 版权声明
  • 译者序
  • 前言
  • 致谢名单
  • 致谢
  • 第1章 Web应用程序安全与风险
  • 1.1 Web应用程序的发展历程
  • 1.2 Web应用程序安全
  • 1.3 小结
  • 第2章 核心防御机制
  • 2.1 处理用户访问
  • 2.2 处理用户输入
  • 2.3 处理攻击者
  • 2.4 管理应用程序
  • 2.5 小结
  • 2.6 问题
  • 第3章 Web应用程序技术
  • 3.1 HTTP
  • 3.2 Web功能
  • 3.3 编码方案
  • 3.4 下一步
  • 3.5 问题
  • 第4章 解析应用程序
  • 4.1 枚举内容与功能
  • 4.2 分析应用程序
  • 4.3 小结
  • 4.4 问题
  • 第5章 避开客户端控件
  • 5.1 通过客户端传送数据
  • 5.2 收集用户数据:HTML表单
  • 5.3 收集用户数据:浏览器扩展
  • 5.4 安全处理客户端数据
  • 5.5 小结
  • 5.6 问题
  • 第6章 攻击验证机制
  • 6.1 验证技术
  • 6.2 验证机制设计缺陷
  • 6.3 验证机制执行缺陷
  • 6.4 保障验证机制的安全
  • 6.5 小结
  • 6.6 问题
  • 第7章 攻击会话管理
  • 7.1 状态要求
  • 7.2 会话令牌生成过程中的薄弱环节
  • 7.3 会话令牌处理中的薄弱环节
  • 7.4 保障会话管理的安全
  • 7.5 小结
  • 7.6 问题
  • 第8章 攻击访问控制
  • 8.1 常见漏洞
  • 8.2 攻击访问控制
  • 8.3 保障访问控制的安全
  • 8.4 小结
  • 8.5 问题
  • 第9章 攻击数据存储区
  • 9.1 注入解释型语言
  • 9.2 注入SQL
  • 9.3 注入NoSQL
  • 9.4 注入XPath
  • 9.5 注入LDAP
  • 9.6 小结
  • 9.7 问题
  • 第10章 测试后端组件
  • 10.1 注入操作系统命令
  • 10.2 操作文件路径
  • 10.3 注入XML解释器
  • 10.4 注入后端HTTP请求
  • 10.5 注入电子邮件
  • 10.6 小结
  • 10.7 问题
  • 第11章 攻击应用程序逻辑
  • 11.1 逻辑缺陷的本质
  • 11.2 现实中的逻辑缺陷
  • 11.3 避免逻辑缺陷
  • 11.4 小结
  • 11.5 问题
  • 第12章 攻击其他用户
  • 12.1 XSS的分类
  • 12.2 进行中的XSS攻击
  • 12.3 查找并利用XSS漏洞
  • 12.4 防止XSS攻击
  • 12.5 小结
  • 12.6 问题
  • 第13章 攻击用户:其他技巧
  • 13.1 诱使用户执行操作
  • 13.2 跨域捕获数据
  • 13.3 同源策略深入讨论
  • 13.4 其他客户端注入攻击
  • 13.5 本地隐私攻击
  • 13.6 攻击ActiveX控件
  • 13.7 攻击浏览器
  • 13.8 小结
  • 13.9 问题
  • 第14章 定制攻击自动化
  • 14.1 应用定制自动化攻击
  • 14.2 枚举有效的标识符
  • 14.3 获取有用的数据
  • 14.4 常见漏洞模糊测试
  • 14.5 整合全部功能:Burp Intruder
  • 14.6 实施自动化的限制
  • 14.7 小结
  • 14.8 问题
  • 第15章 利用信息泄露
  • 15.1 利用错误消息
  • 15.2 收集公布的信息
  • 15.3 使用推论
  • 15.4 防止信息泄露
  • 15.5 小结
  • 15.6 问题
  • 第16章 攻击本地编译型应用程序
  • 16.1 缓冲区溢出漏洞
  • 16.2 整数漏洞
  • 16.3 格式化字符串漏洞
  • 16.4 小结
  • 16.5 问题
  • 第17章 攻击应用程序架构
  • 17.1 分层架构
  • 17.2 共享主机与应用程序服务提供商
  • 17.3 小结
  • 17.4 问题
  • 第18章 攻击Web服务器
  • 18.1 Web服务器配置缺陷
  • 18.2 易受攻击的服务器软件
  • 18.3 Web应用程序防火墙
  • 18.4 小结
  • 18.5 问题
  • 第19章 查找源代码中的漏洞
  • 19.1 代码审查方法
  • 19.2 常见漏洞签名
  • 19.3 Java平台
  • 19.4 ASP.NET
  • 19.5 PHP
  • 19.6 Perl
  • 19.7 JavaScript
  • 19.8 数据库代码组件
  • 19.9 代码浏览工具
  • 19.10 小结
  • 19.11 问题
  • 第20章 Web应用程序黑客工具包
  • 20.1 Web浏览器
  • 20.2 集成测试套件
  • 20.3 独立漏洞扫描器
  • 20.4 其他工具
  • 20.5 小结
  • 第21章 Web应用程序渗透测试方法论
  • 一般规范
  • 21.1 解析应用程序内容
  • 21.2 分析应用程序
  • 21.3 测试客户端控件
  • 21.4 测试验证机制
  • 21.5 测试会话管理机制
  • 21.6 测试访问控件
  • 21.7 测试基于输入的漏洞
  • 21.8 测试特殊功能方面的输入漏洞
  • 21.9 测试逻辑缺陷
  • 21.10 测试共享主机漏洞
  • 21.11 测试Web服务器漏洞
  • 21.12 其他检查
  • 21.13 检查信息泄露
展开全部

评分及书评

尚无评分
目前还没人评分

出版方

人民邮电出版社·图灵出品

图灵社区成立于2005年6月,由人民邮电出版社投资控股,以策划出版高质量的科技书籍为核心业务,主要出版领域包括计算机、电子电气、数学统计、科普等,通过引进国际高水平的教材、专著,以及发掘国内优秀原创作品等途径,为目标读者提供一流的内容。